Comprendre le rôle des organismes de certification et d’accréditation de l’ISO.

Le début par L’Organisation internationale de normalisation (ISO)

Tout commence avec l’ISO (International Organization for Standardization), une organisation non gouvernementale internationale créée en 1947. L’ISO développe et publie des normes internationales “volontaires” sur un large éventail de domaines, dont la sécurité de l’information (ISO/IEC 27001), la qualité (ISO 9001), l’environnement (ISO 14001), etc.

On dit volontaire parce-que l’ISO ne certifie personne et n’impose rien. Elle élabore simplement les normes.

Qu’est-ce qu’un organisme d’accréditation (Accreditation Body — AB) ?

Les organismes d’accréditation ont pour mission de vérifier et valider la compétence des organismes de certification. Ils agissent comme superviseurs des entités qui délivrent les certifications.

• Canada : Conseil canadien des normes (CCN)
• États-Unis : ANAB (ANSI National Accreditation Board)
• Royaume-Uni : UKAS (United Kingdom Accreditation Service)

Qui supervise les organismes d’accréditation ? L’IAF

Au sommet de la pyramide, on retrouve l’International Accreditation Forum (IAF). C’est l’organisme international qui supervise les organismes d’accréditation à travers le monde.

Et en dessous : les organismes de certification (Certification Bodies — CB)

Un organisme de certification est une entreprise ou un organisme indépendant qui effectue des audits et délivre des certificats de conformité aux normes ISO.

Exemples de CB accrédités au Québec et au Canada :

• BNQ (Bureau de normalisation du Québec)
• PECB Canada
• SGS
• Certi-Trust
• Bureau Veritas, DNV, Intertek, UL, NQA, etc.

Pourquoi cette structure est essentielle ?

Elle garantit la chaîne de confiance. L’ISO écrit les règles. L’IAF supervise les superviseurs (les AB). Les AB valident les CB. Et les CB valident les organisations.

En Bref — (ISO → IAF → AB → CB → Entreprise certifiée)

Attention aux organismes non accrédités

Un CB non accrédité peut quand même vous vendre un certificat ISO/IEC 27001. Mais ce certificat n’a aucune valeur reconnue officiellement.

Délais et coûts

La certification ISO/IEC 27001 prend souvent entre 3 et 6 mois à obtenir, selon la maturité de votre SGSI. Les frais varient de 8 000 $ à 25 000 $ sur trois ans, incluant les audits de surveillance.