Nous avons eu le plaisir d’échanger avec Maëlle L’Hénoret, QSE Coordinator pour l’entreprise Staffmatch, au sujet de leur obtention de la certification ISO 27001. Cette certification vise à améliorer la sécurité des données et la gestion des risques, représente un véritable défi pour les entreprises. Maëlle va partager avec nous son retour d’expérience :
- Quels ont été les principaux défis que vous avez rencontrés lors du processus de mise en œuvre de la norme ISO 27001 ?
La mise en place de la norme ISO 27001 a bien sûr présenté des défis techniques : la création d’un système de sécurité de l’information renforcé a nécessité des ajustements, des mises à niveau, et beaucoup d’efforts de la part des équipes techniques.
Au niveau organisationnel, le défi consistait à intégrer ce nouveau système de sécurité dans les processus existants. Cela nécessitait de former les collaborateurs, et d’examiner chaque service sous l’angle nouveau de la sécurité de l’information, qui n’est pas leur principale activité.
Grâce à l’engagement de la direction et à l’implication des équipes, nous avons réussi à obtenir la certification et à relever ce challenge.
- Quels sont les bénéfices pour votre organisation de la mise en place de la norme ISO 27001 en termes de sécurité des données et de gestion des risques ?
La norme fournit un cadre qui facilite la gestion des risques liés à la sécurité des données. Ces risques sont de plus en plus nombreux, notamment face à l’augmentation des cyberattaques, et les conséquences peuvent être lourdes pour les entreprises numériques comme la nôtre.
En prévoyant différents scénarios de risques, nous obtenons une meilleure visibilité sur les mesures de sécurité supplémentaires à mettre en place, ainsi que sur les ressources nécessaires pour protéger la sécurité des données. Cela permet de minimiser les risques et d’anticiper plus facilement les situations de crise.
Prévenir les incidents de cette façon permet également de diminuer les coûts associés à la réparation des dommages et à la violation des données.
- Pouvez-vous nous décrire comment s’est déroulé l’audit de certification ISO 27001 ? Quels étaient les aspects les plus critiques ou les plus complexes de cet audit ?
L’audit de certification 27001 a débuté par une étape de revue documentaire, qui est assez longue car elle nécessite la formalisation de nombreuses procédures existantes liées à notre système de gestion de l’information.
Après la validation de cette revue documentaire, l’auditeur a passé plusieurs jours dans nos locaux, interviewant chaque responsable des services concernés afin d’obtenir une compréhension détaillée de nos opérations. L’exercice n’est pas facile, car il faut être capable d’expliquer le fonctionnement du service de manière claire et concise : ces journées d’audit sont très intenses car il y a beaucoup de questions à traiter, en assez peu de temps. L’aspect le plus complexe est sans doute de démontrer à l’auditeur notre conformité aux exigences de la norme à travers d’exemples concrets, des preuves documentaires, et de présentation de nos outils et procédures.
L’audit peut avoir des airs d’examen, ce qui peut être assez stressant pour les équipes ; mais finalement les échanges avec l’auditeur sont toujours enrichissants, et les conseils opportuns.
- Pourriez-vous faire un parallèle entre l’état de votre sécurité informatique avant et après la certification ISO 27001 ?
Avant de passer par le processus de certification, notre approche de la sécurité informatique était plutôt fragmentée et réactive, avec une stratégie globale de prévention qui se devait d’être renforcée. La certification ISO 27001 a transformé notre approche de la sécurité informatique. Elle nous a permis de comprendre l’importance de la prévention des risques dans le domaine. Nous avons appris à anticiper les problèmes potentiels et à mettre en place des mesures pour les prévenir. En conséquence, nous avons maintenant en place un cadre proactif pour gérer la sécurité informatique.
- Enfin, comment envisagez-vous l’avenir de votre organisation en matière de sécurité de l’information, maintenant que vous êtes certifié ISO 27001 ?
La mise en place de ce système complexe a nécessité un énorme effort de la part de toutes nos équipes. Malgré les défis rencontrés, chacun reconnaît et apprécie les ressources qui ont été allouées à la sécurité de l’information : nous sommes tous fiers des améliorations apportées à notre système qui en ont résulté.
Obtenir la certification ISO 27001 n’est pas une fin en soi, mais plutôt un engagement envers l’excellence et l’amélioration continue de notre système. Pour l’avenir, nous avons une vision ambitieuse : nous envisageons un système de sécurité presque infaillible, capable de résister aux menaces les plus sophistiquées. Nous aspirons également à une gestion de crise efficace et rapide, capable de minimiser l’impact de tout incident de sécurité. Enfin, nous visons à maximiser la satisfaction de nos parties prenantes, en démontrant notre engagement envers la sécurité et la fiabilité. Nous sommes déterminés à tout faire pour atteindre ces objectifs, et restons engagés dans notre quête de perfectionnement pour offrir le meilleur à nos utilisateurs.
Pour demander plus de renseignements sur la certification ISO 27001 :
ISO 27001 – Qualianor Certification