ISO/IEC 27001, notre retour d’expérience

iso27001_head3

ISO/IEC 27001, notre retour d’expérience

Après de nombreux mois de préparation intensive, NSI obtient la certification ISO/IEC 27001 auprès de Vinçotte. Cette exercice a démontré l’importance du travail en équipe pluridisciplinaire, de la collaboration entre tous les départements, du soutien de la Direction , d’une réactivité excellente sans oublier l’agilité de chaque collaborateurs face aux changements. Retour sur cette expérience passionnante.

ISO/IEC 27001 en quelques mots

La norme ISO/IEC 27001 est un ensemble de mesures de gestion qui permet aux entreprises et/ou organisations de mieux maîtriser la sécurité de leur système d’information en prenant conscience des risques encourus et/ou des failles existantes.

La certification ISO/IEC 27001 atteste d’une organisation minutieuse de la politique de l’entreprise en matière de procédures, d’outils et de normes déployées et utilisées en parfaite conformité avec le niveau de sécurité requis.

Une entreprise certifiée ISO/IEC 27001 a donc conscience des risques pesant sur ses données sensibles et s’en protège, non seulement en défendant ses systèmes informatiques de toute intrusion ou sinistre, mais aussi, en mettant en place les bonnes pratiques qui viennent compléter les mesures techniques. Il s’agit donc de la vision d’une sécurité à 360°, le tout accompagné par une équipe dédiée et focalisée sur la sécurité des systèmes d’information.

La démarche suivie par NSI

Dans un monde de plus en plus connecté, la sécurité des données est un challenge quotidien pour toutes les entreprises et organisations. Pour une société de services et solutions IT telle que NSI, cette démarche de certification confirme ses engagements en matière de sécurité des systèmes d’information, d’identification rapide des dangers liés à la cybersécurité et du respect des législations en cours (dont le RGPD).

NSI IT a démarré le processus de certification juste avant l’épidémie par des campagnes de sensibilisation de la Direction de l’entreprise, de nos managers de proximité, ainsi que les collaborateurs en charge de l’IT interne. Cet engagement fort de la Direction a permis de faire appréhender la démarche au sein de NSI ainsi que vers les clients dont nous gérons les données sur des systèmes d’information localisés dans nos centres de données.

Après un achat de la norme ISO/IEC 27000 (premier point de passage obligatoire), et avec l’aide d’un consultant externe spécialisé, NSI a mesuré les actions à mener et les efforts (financiers, techniques et humains) à engager dans les différents départements pour atteindre l’objectif de certification en 2022. Sur cette base, le travail de préparation de 18 mois (sans compter le délai dû à la pandémie) a démarré : communication et sensibilisation des collaborateurs, formation de notre CISO, rédaction de procédures, changements techniques, investissements dans les tests internes puis externes et enfin, audit de vérification.

Vient ensuite le véritable audit de certification permettant de détecter les non-conformités restantes, avant d’obtenir la certification tant attendue.

La certification n’est pas une fin en soi, mais plutôt le début d’une série d’améliorations continues et permanentes qui renforceront encore la sécurité de nos systèmes d’information.

Les objectifs poursuivis

Un des exercices requis par le processus de certification est de fixer les objectifs de l’entreprise dans le cadre de l’amélioration continue de la sécurité des systèmes d’information et des données. Nous présentons ci-après nos objectifs afin de :

  1. Réduire le risque d'atteinte à la réputation, de sanctions légales ou de perte de revenus commerciaux en raison de la compromission d'informations sensibles et personnellement identifiables. L’objectif est mesuré au travers de l’analyse et traitement des risques.
  2. Fournir l'assurance au personnel de NSI, aux clients, au comité exécutif, aux fournisseurs et aux autres parties intéressées que les données sont gérées en toute sécurité. L’objectif est mesuré par le niveau de maturité ISO.
  3. S'assurer que des mécanismes sont en place pour identifier les problèmes de sécurité ayant une incidence sur les actifs informationnels. L’objectif est mesuré au travers du suivi des vulnérabilités.
  4. S'assurer que des mécanismes sont en place pour répondre et apporter les améliorations appropriées à la sécurité de l'information. L’objectif est mesuré par l’audit interne externalisé.
  5. Améliorer la culture et la sensibilisation à la sécurité de l'information au sein de l'entreprise. L’objectif est mesuré au travers du suivi du programme de formation et sensibilisation.

Atteindre la certification c’est :

  • Prendre entre une et deux années pour appréhender la démarche, revoir les processus internes de gestion, écrire la documentation nécessaire, moderniser les systèmes d’information et leur sécurité, sensibiliser les collaborateurs, tester les infrastructures et la résilience des systèmes d’information.
  • Se conformer aux 7 clauses et aux 114 contrôles définis par la norme.
  • Renforcer la sécurité des postes de travail et des serveurs (mots de passe plus forts, processus de mise à jour automatique, outil de détection d’actions frauduleuses…)
  • Effectuer au moins un test d’intrusion par une société externe, un test de continuité des affaires, un test de phishing envers tous nos collaborateurs et des dizaines d’heures de sensibilisation sur la sécurité informatique.
  • Prendre des actions de mises à jour de tous les composants du réseau et des serveurs, y inclus les logiciels des postes de travail.
  • Décider de classification des emails et des documents.
  • Effectuer plusieurs audits dont celui de certification.
  • Créer des nouvelles applications pour la gestion de nos accès.
  • Être présent dans de très nombreuses réunions de coordination.

La suite…

Obtenir la certification ISO 27001 permet d’être davantage sensibilisés au traitement sécurisé des données à caractère personnel et à la protection des systèmes d’information de l’entreprise. Cela devrait permettre de diminuer le risque d’incidents, de réduire les vulnérabilités et d’éviter ainsi les éventuels préjudices liés à la réputation.

Enfin, soyons clairs, la vigilance de tous les collaborateurs reste de rigueur en matière de sécurité informatique : protéger les points d’accès (PC, smartphones, connexions, bâtiments…), identifier et accompagner les visiteurs, garder les informations confidentielles sous clé, éviter les pièges du phishing, communiquer prudemment sur les réseaux sociaux…

Plus d’informations, au travers de l’expérience vécue par notre équipe et des conseils via notre département "Réseaux & Sécurité" (NETSEC).