De plus en plus d’entreprises font le choix de la certification ISO 27001, pour rassurer leurs tiers sur les mesures mises en place quant à la sécurité de l’information au sein de l’organisation. Cette norme spécifie les exigences relatives à l’établissement et à l’amélioration continue d’un système de management de la sécurité de l’information.
Mais saviez-vous que l’obtention de la certification était liée à la vérification des expériences et diplômes des salariés ? Explication avec Rémy Dutartre, Senior Manager Résilience, Crise et Sûreté au sein du cabinet de conseil et d’audit PwC France et Maghreb.
La certification ISO 27001, une garantie dans la sécurité de l’information de l’entreprise
La protection de l’information est l’objectif de la certification ISO 27001. La norme a pour objectif de doter l’entreprise d’un système de management permettant de bénéficier d’un niveau d’assurance raisonnable sur sa capacité à protéger ses informations physiques ou logiques.
Le volet humain reste l’une des clefs de voute du système de protection de l’information de l’entreprise, et il est primordial d’y consacrer une attention particulière.
Rémy Dutartre, Senior Manager Résilience, Crise et Sûreté - PwC France et Maghreb.
Comme l’explique Rémy Dutartre : « Dès lors que vous êtes certifié ISO 27001, cela signifie que vous avez organisé votre politique, vos procédés, vos fonctions, vos instruments et vos normes raisonnablement face au niveau de menace auquel vous êtes exposés en termes de sécurité de l’information. »
Et l’intégrité et la compétence des collaborateurs est au cœur de la démarche. D’après la 2e édition du Baromètre Data Breach - Fuites de données édité par PwC, la malveillance reste le première source de fuite d’information (52%). Et 33% des compromissions de données sont accidentelles.
Rémy Dutartre nous le confirme : « le volet humain reste l’une des clefs de voute du système de protection de l’information de l’entreprise, et il est primordial d’y consacrer une attention particulière ».
L’entreprise doit vérifier les références et les compétences des nouveaux salariés
Ainsi, pour prétendre à la certification à la norme ISO 27001 et dans sa démarche de sécurisation des informations, l’entreprise doit effectuer un contrôle des références des candidats.
Rémy Dutartre donne plus de détail : « l’employeur se doit d’effectuer des vérifications sur tous les candidats à l’embauche, conformément aux lois, aux règlements et à l’éthique ». Il ajoute que « ces vérifications doivent être proportionnées aux exigences métier, à la classification des informations accessibles et aux risques identifiés. »
Pour résumer**, si vous embauchez un nouvel employé, vous ne devez pas seulement juger de sa compétence par un processus de recrutement classique, vous devez en plus de cela vous assurer que les expériences et diplômes qui sont à la base de son expertise sont réels**. Cette exigence s’applique à tous les collaborateurs qui ont accès de près ou de loin à l’information gérée par l’entreprise.
Le background check, à adapter sur chaque territoire
Parmi les informations émergeant lors de la vérification du candidat, seuls les éléments factuels et professionnels peuvent justifier un non-recrutement aux yeux de la loi.
Rémy Dutartre, Senior Manager Résilience, Crise et Sûreté - PwC France et Maghreb.
Il faut préciser que la norme ISO 27001 est internationale. Cependant, tous les pays n’ont pas la même législation concernant le background check. Par conséquent, le même degré de vérification des références ne sera pas exigé partout, et il est important de bien connaître la législation locale.
Rémy Dutartre rappelle que la loi française autorise des vérifications dans un cadre très délimité : « Dans d’autre pays, les vérifications de background check peuvent aller jusqu’à l’étude de la santé du candidat, ou de sa solvabilité. En France, le cadre légal impose que les informations demandées, sous quelque forme que ce soit, au candidat à un emploi ne peuvent avoir comme finalité que d’apprécier sa capacité à occuper l’emploi proposé ou ses aptitudes professionnelles. »
Rémy Dutartre précise aussi que « Parmi les informations émergeant lors de la vérification du candidat, seuls les éléments factuels et professionnels peuvent justifier un non-recrutement aux yeux de la loi ».
Par exemple, si vous recrutez pour une entreprise du secteur pharmaceutique, et que le parcours vérifié du candidat fait apparaitre des opinions opposées à l’utilisation de certains médicaments produits par l’entreprise, ceci ne pourra pas être un motif valable pour justifier un non-recrutement.
Ajoutons également que les vérifications de diplômes et expériences doivent impérativement se faire avec l’accord du candidat.
De l’importance de passer par des spécialistes du background check
Se faire certifier ISO 27001 peut donc représenter pour votre entreprise l’opportunité de démontrer votre engagement pour la protection de vos informations et de celles gérées pour le compte de vos tiers. Pour décrocher cette norme, vous devrez donc mettre en place la vérification des diplômes et expériences de vos candidats.
Comme nous l’avons expliqué, le background check est un procédé sensible qui demande à être conduit en respectant bien la loi des pays concernés. Et pour un résultat rapide et efficace, mieux vaut se tourner vers un spécialiste comme EveryCheck. Nous savons parfaitement comment effectuer un contrôle de références dans le respect du cadre légal et dans les délais imposés par le processus de recrutement.. N’hésitez pas à nous contacter pour en savoir plus.
Un grand merci à Rémy Dutartre et à PwC France et Maghreb pour cet éclairage sur la question du background check comme prérequis à l’obtention de la certification à la norme ISO 27001.