Actualités|mai 14, 2019

ISO 27001 : les coulisses de la certification

Accrochez vos ceintures : depuis à peine un mois, Contentsquare est certifié ISO 27001 ! Et si ça ne vous signifie rien, cet article est fait pour vous :)

 

ISO quoi ?

Si vous n’êtes pas encore un expert sécurité (dommage), voici un petit récapitulatif. L’ISO 27001, c’est une norme qui spécifie des bonnes pratiques pour la mise en place d’un système de management de la sécurité.

ISO 27001 utilise une approche basée sur les risques et est agnostique sur le plan technologique. La norme comprend des détails sur la documentation, les responsabilités de la direction, les audits internes, l’amélioration continue, les actions correctives et préventives afin de protéger les actifs de l’entreprise

Une entreprise peut choisir d’être en conformité – c’est-à-dire suivre les exigences de la norme, mais peut aussi aller plus loin en choisissant de se faire certifier. Dans ce dernier cas, un auditeur (lui-même certifié) externe et indépendant vient s’assurer du bon respect de la norme. Cet audit externe donne lieu en cas de succès à l’émission du certificat. Et vous vous en doutez : c’est ce que nous avons choisi de faire :)

Nous avons voulu en savoir plus, et nous nous donc sommes tournés tout naturellement vers Alexandre Menguy, Chief Information Security Officer, a.k.a monsieur sécurité chez Contentsquare.

 

Who’s who :
Alexandre est Chief Information Security Officer depuis Juin 2018 chez Contentsquare.
il a été auparavant Global Security Manager chez PeopleDoc et Senior Cybersecurity Auditor & Advisor chez Mazars

 

 

L’ISO 27001, de l’idée à la réalisation

Contentsquare : Concrètement, comment se passe l’audit ? Et qui donne cette certification ?

Alexandre Menguy : L’audit n’est que la conclusion d’un long processus !

Tout a commencé en 2018, lorsque nous avons souhaité confronter nos pratiques de sécurité avec un standard de place, et où nous avons choisi « ISO/CEI 27001 », notamment pour sa reconnaissance sur le marché.

D’abord, nous avons défini les objectifs et le périmètre avec le top management ; puis nous avons travaillé avec l’ensemble des équipes pour mettre en place des politiques, procédures et pratiques qui répondaient à nos objectifs de sécurité.

Une fois tous ces éléments en place, nous avons réalisé un audit interne afin de s’assurer que nous étions dans la bonne direction et que nous étions prêts pour un processus de certification.

L’audit interne fut positif ; sans plus attendre, nous avons alors fait appel à un auditeur pour obtenir la certification officielle. C’est là que les choses sérieuses ont commencé…

 

 

CS : Les choses sérieuses ? C’est à dire ?

AM : Et bien, l’auditeur a d’abord vérifié que nos politiques et procédures étaient cohérentes avec la norme. C’était une phase plutôt documentaire.

Puis il s’est déplacé dans nos différents bureaux afin de s’assurer que les politiques et procédures étaient effectivement appliquées.

L’auditeur a enfin envoyé sa recommandation, mais n’a pas donné la certification, qui n’est pas de son ressort. Le dossier et les résultats de l’audit ont alors été transmis à une organisation agréée de certification qui, sur la base des travaux réalisés, a émis le certificat officiel.

 

Une récompense à la hauteur de l’effort collectif

CS : Après coup, tu peux nous dire quelles ont été les principales difficultés pour obtenir cette certification ?

AM : Il faut le reconnaître, la certification ISO 27001 est un projet lourd, qui touche l’ensemble des employés et des pratiques de l’entreprise !

Ce fut d’autant plus impactant que nous avons souhaité couvrir l’ensemble des 133 mesures de sécurité prescrites dans la norme sur nos bureaux de Paris, New-York et Londres. Fort heureusement, l’ensemble des employés et des équipes était pleinement engagée dans la démarche, ce qui nous a permis de nous transformer rapidement.

 

Il faut le reconnaître, la certification ISO 27001 est un projet lourd, qui touche l’ensemble des employés et des pratiques de l’entreprise !

 

Une autre difficulté de ce genre de projet est l’implication de la direction. Une certification à des coûts directs élevés (majoritairement les coûts d’audit de certification) mais surtout d’importants coûts indirects (comme l’achat de solutions de sécurité, le recrutement, la sécurité physique des locaux, la transformation des processus…) et donc le projet de certification doit être totalement soutenu par la direction.

La sécurité des données de nos clients étant une de nos plus importantes priorités, ce processus de certification fut une évidence pour notre direction, et elle s’est pleinement impliquée dans le projet.

 

CS : Et qu’est-ce que cela signifie pour nos clients ?

AM : Vous le savez, les modèles de déploiement évoluent. Le paysage informatique de l’entreprise est passé de systèmes et d’applications on-premise à des environnements complexes, qui reposent sur de nombreuses applications SaaS tierces et sur des services externalisés de cloud computing.

Ainsi, les risques de sécurité sont de plus en plus transférés, et nous savons qu’il est plus important que jamais pour les entreprises d’avoir confiance dans la sécurité de leurs fournisseurs de services.

En recevant cette certification, nos clients peuvent être encore plus confiants car cela prouve que Contentsquare a mis en place un système de gestion de la sécurité de l’information, conçu selon un cadre internationalement reconnu, et jugé efficace par un audit externe approfondi.

Il faut aussi garder à l’esprit que nos entreprises clientes réalisent régulièrement des audits de leur sous-traitants, et que l’obtention d’une telle certification permet de faciliter ce type de revue.

 

Ainsi, les risques de sécurité sont de plus en plus transférés, et nous savons qu’il est plus important que jamais pour les entreprises d’avoir confiance dans la sécurité de leurs fournisseurs de services.

 

Full Width Content Video

 

La vie après la certification

CS : Maintenant que Contentsquare est accrédité, quelles sont les prochaines étapes ?

AM : Effectivement, obtenir la certification est une très bonne nouvelle mais il ne faut surtout pas s’arrêter là !

L’essence même d’ISO 27001, c’est l’amélioration continue et on ne peut donc pas se reposer sur son certificat.

Cette logique est pleinement intégrée dans le cadre de la certification ISO 27001 puisque l’audit de certification est suivi par des audits annuels de surveillance durant lesquels la certification peut être remise en jeu.

 

L’essence même d’ISO 27001, c’est l’amélioration continue et on ne peut donc pas se reposer sur son certificat.

 

CS : Des exemples d’actions concrète que vous allez mener ?

AM : On va continuer à investir fortement dans nos capacités de sécurité. Par exemple, nous comptons lancer très prochainement un programme de Bug Bounty privé. En compléments de nos tests d’intrusions, nous allons ainsi soumettre nos applications à des pirates éthiques et les rémunérer s’ils trouvent des failles. C’est un mode de fonctionnement assez récent mais très prometteur !

 

Auteur
Pierre

Pierre vient de rejoindre l'équipe Marketing de Contentsquare. Il aime l'UX, les blogs, et les blogs sur l'UX.

data benchmark
Voyez votre classement