facebook
Announcements

Rollee est certifié ISO-27001

Un atout considérable pour nos clients et nos partenaires - 7 étapes faciles et 3 conseils supplémentaires pour les responsables de la sécurité

Pauline Kletti
January 12, 2023
6 min read

La norme ISO est un atout précieux pour les entreprises technologiques qui souhaitent se développer et croître. En tant que jeune startup, nous voulions aborder ce sujet le plus tôt possible car nous considérons la sécurité comme une priorité absolue, pour notre produit et pour nos clients.

Qu'est-ce que l'ISO ? Il s'agit d'une organisation appelée International Standard Organization. Les membres de l'organisation ISO co-écrivent des normes pour répondre aux attentes internationales et peuvent s'appliquer à toutes les normes légales.

Il y a beaucoup de normes ISO, sur la santé, les normes industrielles, la qualité et bien d'autres encore... et ISO 27001 est la norme pour la gestion des données sous toutes ses formes.

ISO 27001 contient plus de 150 points de contrôle pour couvrir les exigences de qualité dans une entreprise. Ce n'est pas obligatoire, mais chez Rollee, nous avons décidé de nous faire certifier pour 2 raisons : Premièrement parce que la sécurité (et surtout la confiance dans les données) est au cœur de notre produit. Et deuxièmement parce que nous voulions nous conformer à une norme officielle pour mettre en place notre cadre opérationnel de sécurité. Suivre une norme reconnue internationalement signifie que nos clients internationaux peuvent nous faire confiance et se fier à nos produits.

Notre méthodologie pour nous rendre conforme à l'ISO 27001

Chez Rollee, nous valorisons les processus bien pensés et nous nous sommes dirigés vers la certification ISO 27001 avec un plan. Nous avons planifié plusieurs étapes au préalable pour assurer notre succès, éviter les reprises et planifier nos ressources de manière efficace.

Étape 1 ⇒ Savoir ce qui est fait et ce qui n'est pas fait

Nous avons commencé par effectuer un audit interne pour comprendre notre façon de travailler et les processus déjà mis en œuvre. Cela nous aide à obtenir une analyse situationnelle de nos normes actuelles afin d'identifier les lacunes et les possibilités d'amélioration.

Étape 2 ⇒ Se former et former les autres à la norme

La norme ISO doit être connue et comprise par votre équipe. Pour nous assurer que nos employés comprennent l'impact de la norme, nous avons organisé des sessions d'information et des questions-réponses.  La sensibilisation à la norme de sécurité est la première étape de la mise en œuvre des politiques de travail.

Étape 3 ⇒ Formaliser le cadre de votre politique de sécurité

Nous avons choisi un fournisseur externe qui nous permet de fournir l'inventaire, les outils internes, etc. Nous avons documenté notre processus et créé notre politique de sécurité et notre cadre pour qu'ils correspondent à nos besoins et à notre secteur d'activité.

Étape 4 ⇒ Mettre en place de nouvelles mesures de sécurité

Puis, il était temps de mettre en place de nouvelles mesures de sécurité, qui n'existaient pas jusqu'alors.

  • Nous avons mis en place un outil de gestion des mots de passe pour tous les employés, afin de réduire le risque d'une mauvaise gestion des mots de passe.
  • Nous avons mis en place un processus de révision de la gestion des fournisseurs.
  • Nous avons mesuré l'efficacité de notre système de gestion de la sécurité de l'information à l'aide d'indicateurs clés de performance pertinents.
  • Nous organisons régulièrement des formations à la sécurité pour les employés.
  • Nous améliorons la sécurité des actifs physiques.

Et ce n'est que la partie émergée de l'iceberg.

Étape 5 ⇒ Identifier votre organisme de certification

Une fois que nous nous sommes sentis confiants dans la mise en œuvre de notre cadre, nous avons entrepris de trouver un organisme de certification. Notre objectif était de trouver un organisme et de fixer une date de certification qui s'inscrirait dans notre feuille de route de certification et notre calendrier global.

Étape 6 ⇒ Programmer les audits de certification

Dès que nous avons trouvé le bon organisme, nous avons commencé à organiser les audits de certification. La première étape de la certification est plus légère et déterminera si l'entreprise est prête à passer la certification et si la norme est bien mise en œuvre. La deuxième étape détermine la réception de la certification, elle est plus détaillée et se concentre sur le double contrôle et la vérification des normes et process inscrits dans notre politique de sécurité.

Étape 7 ⇒ Continuer le bon travail 💪

L'obtention de la certification ISO 27001 est un effort continu. Nous avons obtenu notre certification d'audit 2022 et nous nous préparons maintenant pour l'audit de surveillance 2023. Notre objectif est clair : nous voulons rester à jour avec les tendances et les politiques de sécurité, suivre les normes et les exigences, et étendre notre politique en fonction des besoins et de l'évolution de notre entreprise.

Pourquoi cette norme est-elle importante dans notre secteur d'activité ?

La certification ISO exige beaucoup d'efforts et d'investissements: des ressources internes, mais aussi des ressources financières, pour mettre en place les outils nécessaires et se rendre à l'audit. Chez Rollee, nous avons décidé que l'investissement allait être à notre avantage, car nous voulons montrer notre engagement en faveur d'un environnement de travail sécurisé, en prouvant que la sécurité est notre priorité et en maintenant notre norme de sécurité au fil des ans.

La sécurité est au cœur de notre culture d'entreprise: en appliquant la norme, nous minimisons les risques et pouvons mieux protéger nos clients.

Nos conseils pour réussir la certification ISO-27001

Conseil N1 : ⇒ Fournir une estimation budgétaire.

Selon la taille de votre entreprise, les ressources internes nécessaires et les outils que vous allez mettre en place, votre budget variera. N'oubliez pas de prendre en compte le budget de l'audit lui-même, qui peut varier en fonction de différents facteurs.

Astuce N2 : ⇒ Investir dans la formation

Présenter une formation approfondie et de qualité aux employés, et aux équipes techniques est essentiel pour garantir une mise en œuvre réussie des normes de certification. Votre équipe devra agir en conformité avec la norme en toutes circonstances alors il faut s'assurer de la bonne compréhension de la norme. Ne sous-estimez pas le temps investis dans les formations- prenez tout le temps qu'il faut pour donner à vos équipes les meilleurs outils pour être conformes.

Conseil N3 : ⇒ Automatisez tout ce que vous pouvez

Si vous pouvez automatiser quelque chose, alors faites-le. Ne laissez pas les processus manuels vous ralentir! La gestion des fournisseurs, l'onboarding et l'offboarding des employés, la collecte des preuves et la surveillance continue peuvent tous être automatisés et vous aider à réduire tout risque d'erreur humaine.

Vous envisagez de vous faire certifier ISO ? Vous voulez en savoir plus sur nos processus de sécurité ?

Consultez notre page d'accueil pour en savoir plus sur Rollee, et suivez-nous sur Linkedin.