ISO 27001 : comment la norme en sécurité de l’information se gère au quotidien par les équipes IT ?
●Lecture 7 mins
●
ITESOFT a décroché la certification ISO 27001 sur la dernière version 2022 intégrant nativement les contrôles de cybersécurité et l’amélioration de la gestion des risques. Et satisfecit : ITESOFT a fait partie des premiers éditeurs français, pour ne pas dire le 1er, certifié sur la dernière version. La norme ISO 27001 établit des exigences sur le système de management de la sécurité de l'information (SMSI) en respectant le principe d'amélioration continue. Regards croisés entre le DSI, Jean-Philippe Fontana et le consultant avant-vente, Laurent Galvani, sur le pilotage au quotidien des étapes de conformité.
Sommaire
Sur quel périmètre ITESOFT a obtenu la certification ISO 27001 ?
Jean-Philippe Fontana : ITESOFT a obtenu la certification ISO 27001:2022 en choisissant le périmètre le plus large pour un éditeur de logiciels : l'intégralité du cycle de vie de ses services et solutions SaaS de la conception au support en passant par le développement, le paramétrage et l’exploitation. C'est le périmètre complet et surtout celui qui a une véritable valeur pour le client car cela sécurise directement ses traitements et ses données.
ISO 27001, c’est essentiel pour les organisations ?
JPF : Pas de business, ni de continuité d’activité sans sécurité de l’information. C’est encore plus vrai pour un éditeur de solutions SaaS. ISO 27001 est une norme avec laquelle il faut compter si vous voulez continuer à être leader dans l’écosystème des éditeurs de logiciels et offrir de la sérénité à vos clients. Cela devient un standard de sécurité dans la réponse à certains appels d’offre. C’est devenu aussi un prérequis pour assurer la transition facturation électronique de nos clients. ITESOFT n’a pas attendu cette obligation pour être certifiée.
Laurent Galvani : Pour les éditeurs comme ITESOFT qui évoluent dans le cloud, ISO 27001 est incontournable. Dans un contexte d’accélération des risques cyber et de fraudes, la norme internationale devient un standard. Nous avons accompagné et audité ITESOFT dans ce sens afin de leur permettre d’atteindre leur exigence « sécurité » et de faciliter leur besoin de pilotage et de gestion.
C’est un projet de conformité qui a fédéré beaucoup d’équipes ?
JPF : On a rapidement dépassé la notion d’équipes. C’est devenu un vrai projet d’entreprise. La conformité en sécurité de l’information a embarqué nos partenaires et tous les collaborateurs ITESOFT du marketing à la R&D en passant par le Codir autour des enjeux de la sécurité des données et de l’optimisation de nos process. Et grâce au principe d’amélioration continue qui est intégré à la norme, la sécurité est depuis rentrée dans le quotidien de chacun.
Qu’est-ce qui a poussé ITESOFT à utiliser la solution de gestion APOS ?
LG : Nous avons longuement échangé avec les équipes ITESOFT sur la meilleure manière de les accompagner et de les mener vers la re-certification ISO 27001. La solution APOS répondait à de nombreux besoins de pilotage dont le fait de pouvoir centraliser facilement les données et garantir leur intégrité.
Quels besoins de pilotage par exemple ?
LG : Les équipes IT devaient être en mesure de piloter toutes les étapes de suivi conformité ISO 27001 en s’appuyant sur des données fiables : le plan d’action, les risques, le suivi des indicateurs, l’atteinte des objectifs, la gestion des audits, etc.
JPF : Avant APOS, nos équipes perdaient un temps fou à chercher, recouper, contrôler des données essentielles au suivi des étapes de conformité ISO 27001. De fichiers Excel à fichiers Excel, en croisant parfois des informations depuis d’autres sources, c’était un peu le parcours du combattant pour centraliser les données et surtout s’assurer de leur intégrité. Il nous fallait un outil de gestion.
Un outil de gestion pour gérer le quotidien ?
JPF : Oui et avec un outil fiable ! Car les données traitées sont très sensibles pour notre suivi et le contrôle de notre niveau de sécurité par les auditeurs comme par nous-mêmes. APOS c’est le choix de l’opérationnel : superviser l’ensemble des tâches, processus, données de conformité et les preuves dans le suivi quotidien pas les équipes en charge du système de management de la sécurité et de l’information (SMSI).
Par exemple ?
JPF : Grâce à APOS, l’impact des modifications et de l’avancement sur les dépendances entre chantiers, plan d’actions, risques et objectifs est désormais géré et matérialisé en temps réel. Ainsi, nous avons eu l’impression de gagner en quelques semaines des années d’expérience et donc de gagner en maturité.
Grâce à l'outil, nous avons gagné en quelques semaines des années d'expérience
Jean-Philippe Fontana
DSI
Si vous deviez donner un point fort de l’outil en lien avec la politique de sécurité globale d’ITESOFT ?
LG : L’outil est fluide, multi-utilisateurs, multi-projets, multi-référentiels, disponible en mode SaaS et OnPremise, souverain et connectable à l’identity provider du client. Et cela faisait aussi partie du cahier des charges : intégrer l’outil de gestion dans une politique globale d’amélioration en continue des outils et process de sécurité de la société ITESOFT.
JPF : APOS est aussi un outil collaboratif qui fédère les acteurs du SMSI en déléguant la saisie des indicateurs ou simplifiant la communication et le partage d’information. C’est très appréciable quand vous présentez l’avancement en comité de direction. APOS est aussi évolutif. D'ailleurs, je tiens à saluer la réactivité de la R&D Fidens que ce soit pour la livraison régulière d’évolution comme la prise en compte rapide des idées d’amélioration faites par ITESOFT.
APOS est un outil collaboratif qui fédère les acteurs du *SMSI *Système de Management de la Sécurité de l’Information
Laurent Galvani
Consultant cybersécurité
Pour conclure, le choix des outils reste fondamental ?
JPF : Tout à fait ! Et le DSI de l’éditeur de logiciel que je suis ne sera pas le cordonnier le plus mal chaussé. Bien au contraire, pour moi un logiciel est un élément fondamental du puzzle que représente le système d’information et qui va aider à construire l’efficience et la résilience numérique de l’entreprise. Les outils doivent amplifier l’intelligence et l’efficacité des équipes tout en respectant les exigences de sécurité et la stratégie de l’entreprise.
LG : La mise en œuvre de la norme ISO 27001 est un projet à part entière, dense et complexe, la re-certification aussi. Utiliser un outil comme APOS, c’est un vrai gain de temps et un gage d’assurance pour les parties prenantes ; tant en interne avec les collaborateurs qui font ce suivi conformité qu'en externe avec les auditeurs qui viennent chaque année chez ITESOFT.
A NOTER
Jean-Philippe Fontana est directeur des systèmes d’information et de la sécurité des données chez ITESOFT. Il a piloté la certification ISO 27001:2022 au sein du département IT en collaboration avec l’ensemble des équipes de l’entreprise.
Laurent Galvani est consultant cybersécurité et responsable avant-vente et développement commercial pour toutes les offres Fidens by TVH Consulting.
ISO 27001, c’est la norme technique internationale en sécurité de l’information visant à garantir l’intégrité de l’information, la conformité et la traçabilité.
Digitaliser pour se réinventer ? Passionné par l'innovation, je décrypte les sujets de transformation digitale, de digitalisation et des nouvelles technologies IA. Pour un monde plus connecté, plus humain, plus innovant.
Lecture 7 mins
