Le 15 décembre dernier, se sont tenues les journées de la cybersécurité, organisées par BSI et Fidens à Lyon.
A cette occasion, Alexandre LAUGA, CISO / Head of Security & Compliance, a répondu aux questions de BSI sur la mise en place de la certification ISO27001 chez un fournisseur de services cloud managés.
Pourquoi vous certifier ISO/IEC 27001 ?
La mise en place d’un SMSI permet de structurer la démarche sécurité d’une entreprise et de mettre en place une gouvernance pérenne. La certification ISO 27001 est la garantie par un tiers extérieur, expert sur ce domaine, que le SMSI est conforme aux exigences de la norme et qu’il le reste dans le temps.
Claranet est certifié ISO 27001 depuis 2011 sur ses activités cœur de métier : cette certification nous permet de renforcer la confiance de nos clients et constitue un avantage concurrentiel réel pour nos offres de services.
En quoi l’ISO 27001 est-elle utile pour une entreprise comme Claranet, spécialiste de l’hébergement et de l’infogérance d'applications critiques ?
Contrairement à une entreprise « classique », le système d’information à protéger n’appartient pas à l’hébergeur mais à son client. L’ISO 27001 permet donc d’établir une relation de confiance entre les deux parties tout au long du projet d’externalisation : identification des besoins de sécurité, appréciation des risques, mise en œuvre de mesures de sécurité adaptées, contrôles d’efficacité et audits par le client, gouvernance et reporting sécurité.
D’une manière plus globale, l’ISO 27001 permet de gérer la conformité du SMSI par rapport à des référentiels choisis. Cette conformité est alors réévaluée chaque année dans le cadre de l’audit interne et lors des audits externes de certifications.
Initialement fondée sur le standard ISO 27002, la déclaration d’applicabilité (SoA) du SMSI de Claranet comprend également aujourd’hui le standard PCI-DSS et le formulaire P6 lié à l’agrément hébergeur de données de santé à caractère personnel (AHDS).
L’ajout de ces standards au sein de notre SMSI permet de nous assurer du maintien continue de la conformité tout en optimisant les coûts associés (processus mutualisés, audit interne multi standards...).
En réponse aux évolutions de la réglementation et aux demandes de nos clients, nous envisageons d’ajouter de nouveaux standards à notre déclaration d’applicabilité en 2017 : ISO 22301, ISO 27017, ISO 27018 et RGPD.
Pourquoi avoir choisi BSI ?
Lorsque nous avons démarré notre démarche de certification ISO 27001 en 2011, BSI nous a été vivement recommandé par d’autres filiales du Groupe Claranet à l’échelle européenne. Compte tenu de la qualité des audits réalisés et du retour constructif et adapté des auditeurs BSI, nous n’avons ni regretté ni remis en cause ce choix.
Comment avez-vous implémenté la norme et quelles sont les étapes clés ?
Le SMSI ayant l’appui de la Direction, le projet de mise en œuvre aura duré environ un an :
- Formalisation des processus du SMSI,
- Mise en place de la gouvernance sécurité,
- Analyse d’écart ISO 27002 et première appréciation des risques,
- Mise en œuvre des mesures de sécurité et collecte des premiers indicateurs,
- Mesure des performances et audit interne,
- Premier audit de certification.
Depuis 2011, le périmètre du SMSI n’a cessé d’augmenter : extension à de nouvelles offres de service, extension à de nouvelles filiales, ajout de nouveaux référentiels à la déclaration d’applicabilité...
En 2015, nous avons profité de la révision de la norme ISO 9001 pour mettre en place un Système de Management Intégré construit sur le framework de l’annexe SL.
Ce système de management permet de fédérer et de mutualiser les processus 27001: 2013 et 9001:2015.
Comment avez-vous impliqué les salariés dans la mise en place et le maintien de la certification ?
Le périmètre du SMSI englobant initialement près de quatre-vingts pourcents des effectifs de Claranet, il était utopique d’avoir l’adhésion de tous les collaborateurs dès le début du projet. Nous avons donc suivi les principes de la norme et commencé par une implication top-down. Une fois le Middle Management suffisamment impliqué, nous avons élargi les actions de sensibilisation et de responsabilisation à l’ensemble des collaborateurs.
Le maintien dans le temps de cette implication repose sur une sensibilisation et une responsabilisation constante des collaborateurs :
- Amélioration au fil des ans du processus de sensibilisation interne,
- Contrôle permanent de l’équipe Sécurité et Conformité,
- Campagnes d’audit interne tout au long de l’année,
- Nombre croissant des audits externes sur site (audits clients et audits de certification).
Quels sont selon vous, les bénéfices issus de la mise en place d’un système de management ISO/IEC 27001 ?
Les bénéfices immédiats issus de la mise en place d’un SMSI sont, d’une part, la responsabilisation du Management à tous les niveaux de l’organisation et, d’autre part, la formalisation et la mise en œuvre obligatoire des processus et procédures nécessaires à la production d’enregistrements audibles.
A moyen terme, le SMSI devient le pilier de la démarche conformité et permet d’adresser des problématiques aussi bien réglementaires qu’organisationnelles, auprès des clients comme auprès des fournisseurs.
Qu’est-ce que les audits de BSI vous apportent ?
Les audits réalisés par BSI apportent une vision extérieure, factuelle et constructive sur la mise en œuvre du SMSI et des mesures de sécurité au sein de Claranet :
- Extérieure, car l’auditeur se positionne en tiers de confiance : il a accès à toutes les informations internes de l’entreprise et engage sa responsabilité dans la délivrance du certificat.
- Factuelle, car l’auditeur fonde son constat sur les faits et s’appuie exclusivement sur les exigences de la norme pour identifier des écarts
- Constructive, car l’auditeur s’appuie sur l’expérience qu’il a acquis pour identifier des opportunités d’amélioration adaptées au contexte de l’entreprise.
Les audits de BSI peuvent également s’avérer être un soutien important pour les décisions et recommandations portées par l’équipe Sécurité et Conformité auprès des équipes internes de Claranet.
Votre direction s’implique-t-elle dans le système de management ? Si oui, de quelle manière ?
La Direction a un rôle crucial au sein du SMSI de Claranet : elle redéfinit chaque année les éléments stratégiques du SMSI (périmètre, métriques liées à l’appréciation des risques, objectifs de sécurité), valide les choix de traitement des risques et accepte les risques résiduels.
La Direction alloue de plus les moyens et ressources nécessaires à la mise en œuvre des plans d’actions (plan de traitement des risques et plan d’amélioration) et doit, le cas échéant, arbitrer les décisions.
Quels conseils donneriez-vous à des institutions ou aux entreprises qui aujourd’hui se posent des questions sur la norme ISO 27001 ?
La mise en place d’un Système de Management de la Sécurité de l’Information représente souvent un changement dans la culture de l’entreprise. Il faut donc être pédagogue et persévérant, afin de fédérer l’ensemble des parties prenantes autour de l’approche.
Il ne s’agit pas seulement de créer le SMSI à un instant, mais de maintenir les efforts dans la durée pour s’inscrire dans une réelle démarche d’amélioration continue.
Ce projet peut paraitre complexe mais le retour sur investissement est appréciable rapidement. La certification permet quant à elle d’aller jusqu’au bout de la démarche, et la maintenir dans le temps permet de garantir l’engagement constant de l’entreprise.
Propos recueillis par BSI.
Pour plus d'information sur la norme ISO/IEC 27001:2013, rendez-vous sur bsigroup.fr