L’ISO/IEC 27001 à la portée des TPE et PME!

Mutualiser les coûts pour attirer les plus petites organisations. C’est absolument nécessaire. Mais encore insuffisant. Pour le CRP Henri Tudor, il y a beaucoup à gagner en favorisant l’échange de savoirs, et donc d’expériences, à travers le dialogue. Sur base d’une initiative en cours, ce serait la meilleure façon de motiver les PME et TPE à obtenir leur certification ISO/IEC 27001.

Octobre 2009. Le Centre de Recherche Public Henri Tudor inaugure un modèle de déploiement spécifiquement conçu pour les PME sous la forme d’une «grappe» d’entreprises s’engageant tant dans le déploiement d’un SMSI (Système de Management de la Sécurité de l’Information) que dans un processus commun d’implémentation.

Précurseurs, l'Administration de la Navigation Aérienne (ANA) du Luxembourg et l'entreprise IFOnline: le premier est déjà certifié ISO 9001 et ses systèmes critiques sont contrôlés par des entités externes; le second avait déjà une bonne culture de la sécurité, mais manquait de formalisation. Partageant la même ambition, les deux organisations ont suivi un cycle commun de formation comprenant 10 sessions réparties sur cinq mois. Entre chaque session, des coachings personnalisés ont permis de mettre en pratique les connaissances acquises en formation et d’adapter les modèles et outils.

Pour ces deux organisations, le cycle s’est achevé en mars 2010. Bilan positif. La TPE IFOnline s’apprête à passer l’audit de certification ISO/IEC 27001 après avoir capitalisé sur son savoir pour bien s’y préparer. «Les certifications ne sont pas réservées aux grandes organisations, pas même l’ISO/IEC 27001, commente Nicolas Mayer, Service Line Manager pour la thématique Security & Business Continuity, CRP Henri Tudor. Ce n’est pas une question de taille, mais d’engagement. Et donc une affaire de volonté.»

Ce projet ISMS-PME, mené depuis 2008 par le CRP Public Henri Tudor est cofinancé par le Ministère de l’Economie et du Commerce extérieur. Il s’est concrétisé par la rédaction d’un guide méthodologique, le développement d’outils logiciels et des formations. Plus un modèle de déploiement, à savoir l’approche en «grappe»: trois à cinq entreprises pour mutualiser les coûts et, surtout, partager la démarche.

Mai 2010. Trois entreprises et une organisation publique sont réunies dans la «grappe». Autant de «profils» différents, mais néanmoins complémentaires dans la démarche: l’entreprise de déménagement Streff, l’entreprise d’intelligence économique Sandstone, l’entreprise d’archivage électronique Luxembourg e-Archiving et, enfin, la Cour des Comptes Européenne.

A mi-parcours, Nicolas Mayer dresse un premier bilan. «La sécurité est un sujet complexe, qu’on aborde difficilement seul, a priori pour une petite organisation. En partageant les outils et les formations, les membres de la grappe ont commencé à échanger leurs expériences respectives. Streff, par exemple, est déjà certifié ISO 9001. Cela a naturellement suscité de l’intérêt de la part des autres... Plus que l’aspect financier propre à la mutualisation, c’est très clairement l’échange d’expériences et de bonnes pratiques qui encourage les entreprises à avancer.»

De fait, pendant près d’un an les entreprises de la grappe sont amenées à partager un même projet. Ca tisse nécessairement des liens; on compare les expériences, les savoirs; on s’encourage et, par conséquent, on se renforce mutuellement. «Quant aux formations du CRP Henri Tudor, elles dépassent le transfert de connaissances, insiste Nicolas Mayer. Mieux vaudrait parler de transfert de savoir-faire. A la clé, plus d’autonomie. Et en matière de sécurité, c’est capital!»

En février 2011, les quatre organisations de la «grappe» seront prêtes à demander leur certification ISO/IEC 27001. Auraient-elles initié la démarche seules? Certaines entreprises reconnaissent volontiers qu’elles ne l’auraient pas fait. Trop cher, trop lourd. Elle ne doivent pas être les seules...