Actualités

Les audits d’il y a deux semaines sont clairs : aucune non-conformité n’a été relevée. C’est donc officiel. Notre certification ISO 27001 est renouvelée.

Nouveau système, méthodes éprouvées

Avant ces derniers audits, notre première qualification ISO 27001 date de l’année dernière. Or, en 2021, notre entreprise a quitté un grand groupe. Parce qu’une difficulté n’arrive que rarement seule, c’est juste à ce moment-là, qu’il a fallu très rapidement trouver et maintenir des solutions VPN robustes et fiables, pour que nos collaborateurs assurent la continuité du service pendant les confinements.

En plus de sécuriser les réseaux existants, nous avons travaillé à l’hébergement et la mise en place de notre propre site internet. Toute la gestion des adresses mail a été créée, revue et consolidée, alors que nous installions un intranet. En parallèle, nous avons mis en place le suivi, le traçage et la résolution des incidents et des demandes d’achat. Notre équipe informatique a assuré l’assistance de la mise en œuvre d’un nouvel ERP pour satisfaire les besoins de nos équipes administratives. Ils ont tous ont retroussé leurs manches. Un peu plus de deux années plus tard, nos choix se sont confirmés. Nos systèmes sont renforcés et sécurisés. Le renouvellement de cette certification nous réjouit.

Sensibilisation et appropriation des questions de sécurité par le personnel

Au-delà de l’équipe informatique proprement dite, nos collaborateurs intègrent pleinement le besoin de sécurité. Nous diffusons régulièrement des « fiches réflexe » pour les alerter. Des campagnes de sensibilisation assurent que chacun est régulièrement alerté et mesure les risques éventuels pour l’entreprise.

Nous avons par exemple lancé plusieurs campagnes pédagogiques par l’envoi de mails les invitant à cliquer sur un lien. Lorsqu’ils cliquent, ils arrivent sur une page qui leur explique pourquoi ils n’auraient pas dû prendre le risque de cliquer. La première fois, le message du mail avait toutes les apparences d’une campagne de phishing efficace. Ils ont été plus de 200 à faire l’erreur. La deuxième fois, notre message était très différent, mais les consignes de prudence ont été bien intégrées par nos collaborateurs : ils étaient à peine plus de 60 à se faire prendre. Ceux qui sont tombés dans le panneau nous ont félicités pour l’inventivité et la présentation du message.

De l’importance d’un réseau souverain

Parce que nous travaillons depuis des années pour des clients sensibles, sécurité et protection des données sont depuis longtemps à la base de nos développements et de nos propositions. Nous disposons d’un réseau de données souverain, parfaitement autonome et bien plus hermétique aux intrusions que nombre de clouds qui se vendent pourtant comme des petits pains. Nous avons renforcé ses protections, pour garantir un respect strict des normes et pour verrouiller de manière sûre les accès, en fonction des autorisations des usagers.

Pourquoi chercher une certification qualité complémentaire ?

Nous étions déjà certifiés ISO 9001 et EN 9100. À fin 2022, les audits internes et ceux de nos clients, ou encore de la DGA, nous ont fait comprendre que notre maturité technique mettait le label 27001 à notre portée, tant pour la conformité aux exigences réglementaires et contractuelles qui concernent la sécurité des données, que pour la confidentialité et la gouvernance informatique. Au passage, on peut saluer le travail de notre service qualité pour sa diligence et sa méticulosité.

D’un autre côté, si la plupart de nos clients actuels connaissent la qualité de notre travail et sont conscients de notre engagement en matière de sécurité informatique, une reconnaissance officielle, attestée par un audit indépendant, c’est toujours mieux. Pour notre première certification de 2022, sur les 4 critères de sécurité vérifiés par la norme : assurer la disponibilité des informations et des services, sécuriser l’intégrité des données critiques, garantir la confidentialité des données sensibles ou des données clients et assurer la disponibilité et la conformité des preuves légales (et autres), nous n’avons pas eu une seule non-conformité. Nous en sommes vraiment fiers et je crois que nous le pouvons, d’autant plus que ce renouvellement montre que notre attention ne s’est pas relâchée.

Toute entreprise en possession de données sensibles peut être la cible de fraudes, de vols, de détournements ou d’abus. Notre vigilance est constante et nous suivons de près les évolutions technologiques pour parer à toute attaque.

Quel est l’intérêt de cette certification pour nos clients ?

Contrairement aux autres normes ISO, la norme 27001 part des risques et de leur gestion. C’est donc la garantie que notre entreprise anticipe et prévient les risques de pertes, de vol ou d’altération des données. Pour y arriver, non seulement le système informatique est soumis à des règles très strictes, mais tous les scénarios de catastrophe sont envisagés avec leur résolution, en totale transparence. Cette certification atteste de nos bonnes pratiques de sécurité, facilitant la gestion de toutes les données en maintenant leur intégrité.

Plus d’informations sur la norme internationale ISO 27001

Dans les grandes lignes : https://www.iso.org/fr/isoiec-27001-information-security.html
Dans le détail : https://feelagile.com/certification-iso-27001/

(un grand merci à Stéphane Penhouët, responsable informatique et développements chez Eowin pour sa participation à cet article)