Expiration des certifications ISO : mythe contre risque

Avec les vérifications iso actuellement en attente en raison de la pandémie de Covide-19, il ya eu beaucoup de fureur autour de milliers de certifications potentiellement en cours d’expiration. Certaines entreprises touchées peuvent hausser les épaules – après tout, il ne va pas vous empêcher de faire des affaires.

Pourtant, la réalité est que les ISO sont souvent des éléments cruciaux dans le cadre des obligations contractuelles. Dans de nombreux cas, les certifications que votre entreprise détient font partie de la raison pour laquelle de nombreux clients ou partenaires ont choisi de faire affaire avec vous.

Prenez ISO 27001, par exemple. Cette certification donne à d’autres entreprises l’assurance que vous disposez d’un système de gestion de la sécurité robuste et qu’il est évalué indépendamment par rapport au cadre international. Dans le cas où la certification expirerait, les contrats conclus avec des clients et des partenaires qui étaient garantis sur le fait que la certification était en place pourraient être violés. Qui plus est, votre réputation et vos relations avec vos clients pourraient être en jeu.

Et il n’y a pas que les relations existantes qui sont affectées. En permettant à la certification d’expirer, vous risquez également de perdre sur de nouvelles opportunités d’affaires de clients potentiels qui veulent travailler avec une entreprise qui a à la fois acquis et maintenu la certification.

En plus d’attirer et de retenir les entreprises, les ISO ont d’autres avantages tangibles. Dans le cas de l’ISO 27001, les entreprises certifiées bénéficient d’une gouvernance interne plus forte et d’une reconnaissance du leadership pour une sécurité solide. Si cette certification est autorisée à expirer, l’examen interne de la gestion de la sécurité pourrait diminuer.

Il y a beaucoup de risques à laisser les certifications expirer et dans le paysage actuel, les entreprises doivent se demander si ces risques valent vraiment la peine d’être pris. Mais, malgré la fureur, vous n’avez pas besoin de vous soucier de l’incapacité d’obtenir vérifié parce que les solutions de contournement sont tout à fait possibles.

De nombreuses entreprises ont été forcées d’adopter le travail à distance pendant la pandémie et les organismes de certification adoptent la même approche pour effectuer des audits sous la direction du Service d’accréditation du Royaume-Uni (UKAS).

Nous avons vu des clients de première main poursuivre avec succès la certification ISO 27001 au cours des derniers mois grâce à des audits à distance et des audits de surveillance organisés avec des organismes de certification. Nous avons également vu d’autres activités de certification qui nécessitent une interaction en personne être reportées, ce qui permet aux entreprises de gérer l’impact commercial de Covide-19 sans perdre leur certification.

Si vous décidez de poursuivre la voie de vérification à distance, vous devez examiner attentivement votre approche pour les meilleures chances de succès. Il est courant, lors des vérifications sur place, que le vérificateur choisisse avec qui il veut s’engager et qui, dans l’entreprise, devrait être le moteur de la vérification.

Pour vous assurer que les personnes les plus appropriées sont en mesure de devenir le point de contact du vérificateur au cours d’une vérification à distance, vous devez vous assurer de bien comprendre les domaines évalués et identifier les personnes qui sont responsables de chacun de ces domaines. Ces représentants devraient ensuite être mis à la disposition des vérificateurs tout au long de l’évaluation, en s’assurant qu’ils ont un accès approprié aux éléments de preuve qui appuieront une vérification réussie.

Assurez-vous également de mettre l’accent sur les politiques, les processus, les initiatives de sensibilisation et la formation qu’ils mettent en œuvre aussi clairement que possible.

La préparation d’une vérification de la certification ISO peut prendre beaucoup de temps et être coûteuse, et compte tenu des défis commerciaux découlant de la pandémie, votre entreprise peut chercher à réduire ses coûts dans la mesure du possible. Mais bien que permettre une expiration de certification puisse sembler tentant, les avantages d’avoir une certification l’emportent vraiment sur les risques de la laisser aller.

La pandémie a rapidement accéléré la transformation numérique dans presque toutes les industries et vous devez considérer comment un manque de certification pourrait refléter avec l’accent accru mis sur la gestion des systèmes, des processus et de la sécurité. De même, si votre entreprise n’est pas encore certifiée et qu’elle est en train de reconsidérer la question de savoir s’il faut obtenir une certification ISO, vous devriez également examiner ces arguments. Une certification pourrait être cruciale pour gagner et retenir les clients, plus que jamais auparavant.

Pour vous assurer que votre entreprise continue de fonctionner efficacement dans la nouvelle façon de travailler, vous devez engager un dialogue transparent avec l’organisme de certification concerné et travailler avec eux pour s’assurer qu’ils peuvent faire face aux défis de certification et d’audit qui ont résulté de Covide-19.

Les mesures nécessaires à l’obtention de la certification doivent souvent être mises en œuvre rapidement, mais avec de nombreuses main-d’œuvre actuellement dispersées, cela pourrait être un plus grand défi. S’engager auprès de consultants expérimentés qui peuvent fournir un soutien expert dans la réalisation de lala certification vant donnera à votre entreprise une plus grande chance de succès.

Reconnaître que l’avantage de la certification ISO est plus grand que le risque d’exploitation sans elle est impératif que nous nous acclimatons à la nouvelle normale.

Scott Nicholson est directeur et responsable de la prestation technique chez Bridewell Consulting, un fournisseur de services de sécurité de l’information. Il a commencé sa carrière dans l’application de la loi à Gwent Police avant de devenir consultant en sécurité et en protection de la vie privée chez IBM, et possède plus d’une décennie d’expérience en cybersécurité et en conformité.