You are currently viewing La certification à l’ère de la surcharge normative

Dans un monde qui engendre lois sur lois, la certification permet de garantir une certaine base de respect d’un lot de normes prédéterminées. Ces certifications apportent des avantages, mais ne sont pas une réponse totale et absolue à tous les problèmes.

Pourquoi être certifié, quels avantages ?

La certification assure, à qui veut le savoir, que l’on respecte bien certains critères. Cela permet notamment, dans certains cas, d’accéder à des marchés qui sont fermés à ceux ne respectant pas certains critères. Un exemple de cela se retrouve dans le domaine de la santé, pour l’hébergement de données de santé, question sur laquelle un article de mai 2023 revient en détail.

Plus généralement, dans le domaine du numérique, ce sont les normes ISO 27.000 et suivantes qui traitent des certifications de sécurité des systèmes d’information. La sécurité est un prérequis pour satisfaire correctement aux exigences de protection en matière de données personnelles. Un article d’octobre 2019 se penche en profondeur sur les normes ISO, en particulier dans le domaine du numérique, très friand de ce genre de considérations.

Cependant, on trouve des certifications dans de multiples domaines, le numérique, la santé et l’agriculture n’étant pas les seuls exemples. 

Comment être certifié ? 

Être certifié, c’est prendre du temps et engager des moyens, humains et financiers, pour obtenir le droit d’exhiber un petit logo mignon qui indique que l’on respecte un code précis.

Le processus passe d’abord par une formalisation du fonctionnement des processus internes à l’organisation. Cela veut dire formuler clairement le fonctionnement du processus ou la pratique à certifier. Puis, il faut assurer la formation du personnel et la rectification des éléments s’éloignant des critères de la norme sous laquelle on souhaite être certifié. La dernière étape est de passer par un audit permettant de justifier du respect des critères de la certification.

Le certificat en lui-même est aussi payant, il s’agit donc là d’un investissement. Comme tous les autres, il doit être réfléchi et ne pas être fait juste comme ça.

Les pièges de la certification

On peut vite être tenté d’aller voir toutes les normes et de se dire que pour bien faire, il faut être certifié sur la moindre chose.

En réalité, si elles peuvent avoir un impact positif, elles demandent de l’investissement et ne sont pas toujours utiles. Une entreprise développant des logiciels pourrait se faire certifier pour le respect de l’agriculture durable de son code. Il n’est cependant pas certain que les clients y soient sensibles, voire comprennent l’intérêt d’une telle qualification. Un exemple de certification pertinente : celle des sites de résolution amiable des litiges en ligne « certilis », développé dans un article d’avril 2022. Elle permet de garantir que le service corresponde à un certain seuil de qualité, se révélant donc utile pour les consommateurs avisés. Il n’existe pas de « certification uniformément pertinente », cela dépend énormément des activités et des objectifs visés.

Ainsi, faire certifier un système d’information pour sa robustesse en termes de sécurité à un fort impact, si le but est de vendre une solution de stockage sécurisé d’information ou pour assurer une obligation légale. Notamment avec le « cyberscore », rendu obligatoire dans certains cas, développé par deux articles datant de 2022. Un autre cas d’utilité réelle concerne l’accessibilité des produits aux personnes atteintes de handicap (voir ISO/IEC 40500 ou WCAG 2.2, pour le respect de la directive 2019/882), obligatoire pour les produits numériques dès le 28 juin 2025.

Pour conclure, les certifications sont un puissant outil s’il est bien manié et avec parcimonie. Il est facile de vite s’y noyer et s’y perdre, si la stratégie de certification n’est pas clairement pensée pour un but précis.

Thomas BUSSER

M2 Cyberjustice – Promotion 2023-2024

#Certification #ISO #Conformité #SI #Numérique #Sécurité #Cybersécurité #Accessibilité

Sources:

https://www.bdc.ca/fr/articles-outils/operations/iso-autres-certifications/processus-certification-iso 

https://www.linkedin.com/pulse/comment-calculer-le-retour-sur-investissement-dune-iso-eric-robin/?originalSubdomain=fr 

https://www.bdc.ca/fr/articles-outils/operations/iso-autres-certifications/7-avantages-de-la-certification-iso-pour-votre-entreprise

A propos de Thomas BUSSER

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.