Comme nous, beaucoup d’entreprises se félicitent, à juste titre, de l’obtention de la certification ISO 27001. Une reconnaissance souvent associée, à tort, à la seule robustesse de la cybersécurité d’une entreprise. En réalité, cette certification atteste de la qualité des processus mis en place pour assurer in fine l’intégrité des données de nos clients, ce qui n’est pas la même histoire. Mais alors concrètement qu’est-ce que ça change ? À la fois tout et pas grand-chose.
Pourquoi passer la certification et surtout pourquoi maintenant ?
Obtenir une certification comme l’ISO 27001 est une procédure longue et lourde pour une entreprise. Jusqu’en 2018 nous n’en voyions pas l’utilité, cela ne freinait pas notre croissance et nos clients reconnaissaient notre sérieux en matière de traitement des données et d’amélioration continue.
Alors qu’est-ce qui a changé en 2018 ? La réponse tient en 4 lettres : RGPD. Avec l’entrée en vigueur du règlement nous avons constaté une amélioration du niveau général sur le traitement des données personnelles. Notre bonne foi ne suffisait plus pour démontrer cette expertise. La certification prouve qu’un organisme indépendant a reconnu notre engagement sur le sujet.
Cette certification n’impacte en rien l’utilisation des solutions Lucca
Vos collaborateurs continueront d’utiliser nos solutions comme si de rien n’était. l’ISO 27001 certifie simplement ce qu’on appelle le SMSI (Système de Management de la Sécurité de l’Information), c’est-à-dire, dans notre cas, tout ce qui touche de près ou de loin aux données utilisateurs de nos clients.
Nous avons donc remis à plat nos processus notamment en matière de gestion des données. Un vaste sujet qui englobe :
- Les droits et accès de chacun dans notre système d’information
- La création d’un référentiel documentaire
- La transmission des procédures à tous les luccasiens en contact avec des données clients
- L’amélioration continue de ces processus
Être certifié ISO 27001 est une preuve objective de notre engagement à protéger nos actifs (c’est le terme consacré pour parler des données utilisateurs dans le contexte de Lucca).
Qu’est-ce que ça change pour Lucca ?
La certification ISO 27001 a, en revanche, impulsé quelques changements en interne.
En l’occurrence, nous avons créé une équipe « conformité » dont le rôle consiste à régulièrement nous challenger pour s’assurer que nous sommes en permanence conformes aux exigences de la certification. Autrement dit, nous ne pouvons plus nous tourner les pouces sur le sujet.
Il s’agit également d’un marqueur de l’hypercroissance que nous connaissons en ce moment. Devenir un acteur de référence ne se déclare pas, cela se prouve. La certification ISO 27001 nous permet d’asseoir notre légitimité et notre crédibilité sur le marché du SIRH en France et à l’étranger.
Qu’avons-nous mis en œuvre pour obtenir la certification ?
Le principal travail a porté sur la documentation et l’indexation de toutes les procédures dans un référentiel. C’est la partie visible et concrète du Système de Management de la Sécurité de l’Information, le fameux SMSI si vous avez suivi. Les défis maintenant sont de s’approprier ce référentiel documentaire au quotidien et de le maintenir à jour.
Le dernier gros morceau consistait à faire évoluer l’infrastructure de Lucca. Nous avons par exemple implémenté une segmentation réseau proche de l’état de l’art. Nous avons aussi mis en place un SIEM (Security Information & Event Management) et augmenté de façon drastique le nombre de logs ainsi que leur analyse en temps réel. Dans la langue de Molière : chaque action entraîne maintenant une trace qui est enregistrée dans un système sécurisé et inaltérable.
« Attendez 2 minutes, ça veut dire qu’avant la certification vous faisiez n’importe quoi avec nos données ? »
Non 😉 Mais au moins, maintenant, vous en avez la preuve !