Les entreprises françaises boudent-elles la certification ISO 27001 ?

Tribune - Créée en 2005, la certification ISO 27001 permet aux entreprises de démontrer à leurs clients qu’elles ont mis en oeuvre de bonnes pratiques en matière de sécurité de l'information.

La démarche vise à instaurer un système de management de la sécurité de l'information (SMSI). Encore peu utilisée en France, la norme sert en revanche de guide ou de cadre aux RSSI.

Une certification, pourquoi faire ?
Parce que la sécurité n'est plus aujourd'hui une option et que le marché, de plus en plus exigeant, exerce de fortes pressions sur les entreprises, beaucoup d'entre elles sont amenées à remettre en question leurs méthodes. La norme ISO 27001 pose les fondamentaux en matière de sécurité des systèmes d'information : planification des actions à entreprendre, mise en pratique et amélioration des opérations en réalimentant le cycle vertueux de progrès. La certification est une garantie du maintien dans le temps du niveau de sécurité acquis. Elle fait l'objet d'un audit externe tous les six mois.

ISO 27001 permet d'intégrer la sécurité du système d'information dans une gouvernance globale. Les entreprises sont soumises à une multitude d'audits, fondés sur des règlements qui font autorité. En facilitant les échanges avec les auditeurs externes (LSF, Sarbanes-Oxley, Bâle II, Commission bancaire, etc.), la certification permet d'éviter l'accumulation chronophage d'audits.

Tout l'article sur ZDNet :
http://www.zdnet.fr/actualites/informatique/0,39040745,39701523,00.htm