FAQ : Normes
Combien coûte une certification ISO 27001 pour une PME ?
Entre 10 000 et 50 000 CHF pour une PME suisse, selon la taille et la complexité. Ce coût inclut la préparation (analyse des écarts, mise en place du SGSI) et l'audit de certification par un organisme accrédité. Le renouvellement tous les 3 ans coûte généralement 30 à 50 % du coût initial.
Combien de temps faut-il pour obtenir la certification ISO 27001 ?
En moyenne 6 à 12 mois pour une PME suisse, selon la maturité existante. Le processus comprend l'analyse des écarts (1-2 mois), la mise en place du SGSI (3-6 mois), l'audit interne (1 mois) et l'audit de certification (1-2 mois). Bexxo accompagne ses clients sur l'ensemble de ce parcours.
Comment Bexxo vous accompagne dans le respect de ces normes ?
Nous procédons à une évaluation complète de votre situation, nous identifions les écarts et proposons un plan d’action concret pour aligner vos pratiques sur les standards requis.
L'ISO 27001 est-elle obligatoire en Suisse ?
Non, l'ISO 27001 n'est pas légalement obligatoire en Suisse. Cependant, la nLPD exige des mesures techniques et organisationnelles appropriées pour protéger les données. L'ISO 27001 fournit le cadre le plus reconnu pour démontrer cette conformité. Certains secteurs (finance, santé) l'exigent contractuellement.
La nLPD exige-t-elle une norme spécifique ?
Non, la nLPD (nouvelle loi suisse sur la protection des données) n'impose aucune norme spécifique. Elle exige des « mesures techniques et organisationnelles appropriées ». L'ISO 27001, le NIST CSF ou le Standard TIC suisse sont les cadres les plus reconnus pour démontrer cette conformité en cas de contrôle du PFPDT.
Le guide ANSSI est-il applicable en Suisse ?
Oui. Bien que l'ANSSI soit l'autorité française, ses 42 mesures d'hygiène informatique sont universelles et particulièrement pertinentes pour les PME francophones suisses. Le guide est gratuit, pragmatique et compatible avec le NIST CSF et l'ISO 27001. C'est un excellent point de départ pour les entreprises de Suisse romande.
Peut-on combiner plusieurs cadres (ISO, NIST, ANSSI, TIC) ?
Oui, ces cadres sont complémentaires. Chez Bexxo, nous recommandons une approche progressive : démarrer avec le Standard TIC suisse ou le guide ANSSI, structurer avec le NIST CSF, puis viser la certification ISO 27001. Chaque étape renforce la précédente sans repartir de zéro.
Qu'est-ce qu'EBIOS Risk Manager ?
EBIOS Risk Manager est la méthode d'analyse de risques de l'ANSSI, structurée en 5 ateliers : cadrage, sources de risques, scénarios stratégiques, scénarios opérationnels et traitement. Adoptée par les administrations françaises et de nombreuses entreprises francophones, elle permet d'identifier les menaces les plus réalistes et de prioriser les investissements en sécurité.
Qu'est-ce que le Standard minimal TIC suisse ?
Le Standard minimal TIC est un cadre développé par l'OFAE (Office fédéral pour l'approvisionnement économique) en collaboration avec le NCSC. Il définit 106 mesures basées sur le NIST CSF, adaptées au contexte suisse. Gratuit et disponible en français, allemand et italien, il inclut un outil Excel d'auto-évaluation.
Quelle est la différence entre ISO 27001 et ISO 27002 ?
L'ISO 27001 définit les exigences pour un système de gestion de la sécurité de l'information (SGSI) et permet la certification. L'ISO 27002 est un guide de bonnes pratiques qui détaille l'implémentation des 93 contrôles de l'Annexe A. En résumé : 27001 dit « quoi faire », 27002 dit « comment le faire ».
Quelles sont les 5 fonctions du NIST CSF ?
Les 5 fonctions du NIST Cybersecurity Framework sont : Identifier (comprendre les actifs et risques), Protéger (contrôles d'accès, chiffrement), Détecter (surveillance, alertes), Répondre (plan d'intervention, communication) et Récupérer (restauration, leçons apprises). Chaque fonction est évaluée sur un score de 0 à 4.
Quelles sont les normes incontournables en cybersécurité ?
Parmi les plus importantes figurent ISO 27001, NIST, nLPD, RGPD et PCI-DSS. Elles fournissent des cadres robustes pour sécuriser vos systèmes et garantir la protection des données.