Almavia CX obtient la certification ISO 27001

Un projet d’entreprise synonyme de transformation de l’organisation

C’est en 2016 qu’Almavia CX a lancé la mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI) ayant vocation à être certifié ISO 27001 (Almavia CX s’engage dans un processus de certification ISO 27001Almavia CX s’engage dans un processus de certification ISO 27001). Pour cette ESN comptant une centaine de collaborateurs, ce chantier aura représenté le projet majeur de l’année 2017, et cela à plus d’un titre. Tout d’abord, parce qu’il a été porté par un engagement fort de la direction. D’autre part parce que l’ensemble des collaborateurs a contribué à sa réussite. Enfin, parce que l’effort consacré a généré un coût de l’ordre de 2,5 % du chiffre d’affaires annuel. En particulier, Almavia CX s’est fait accompagner par le cabinet FIDENS, depuis le premier jour jusqu’à l’obtention de la certification.

L’organisation d’Almavia CX en a été transformée, donnant naissance à une DSI séparée des activités de production et qui réunit des compétences techniques, qualité et organisationnelles. 

Maîtrise et sécurisation du SI : une démarche structurée jusque dans les moindres détails

La maîtrise des processus métiers et des éléments techniques du SI est la condition incontournable permettant de garantir la sécurité dans la durée. Cette maîtrise est encadrée par la norme ISO 27001 (inspirée de l’ISO 9001) qui impose un contrôle qualité rigoureux des mesures de sécurité implémentées. Il se concrétise par des processus documentés, des revues périodiques et l’utilisation de checklists, ainsi que par des audits internes. Chaque déploiement d’une nouvelle mesure est surveillé par un indicateur. Par exemple, la sécurité des accès est garantie par le processus de gestion des mouvements de personnel, par des revues périodiques des comptes et des droits, et par des indicateurs de surveillance. De même chaque incident de sécurité est analysé à froid puis déclenche des actions curatives, correctives et préventives.

Almavia CX a ainsi renforcé la sécurité de ses locaux (vidéosurveillance, contrôle d’accès par badge…), des postes de travail (chiffrement, antivirus centralisé, limitation des droits…), de l’infrastructure informatique (externalisation des serveurs, sécurisation du réseau, authentification forte centralisée…) et des processus de production (documents d’architecture, chaîne d’intégration continue, revue de code…).

La sécurité de l’information étant l’affaire de tous, la sensibilisation de l’ensemble du personnel fut et restera la clé de voute de la démarche. Elle permet en effet de responsabiliser chaque salarié qui, en retour, nourrit l’amélioration continue du dispositif.

« Un système incroyablement mature » selon Certi Trust

Le point d’orgue du projet fut l’obtention, le 8 décembre 2017, de la certification ISO 27001. Elle a été délivrée par Certi Trust, organisme dont les auditeurs ont apprécié la conformité du SMSI d’Almavia CX. Voici deux citations particulièrement significatives, extraites du rapport d’audit :

«  La Direction a démontré son engagement à améliorer son SMSI […]. » 

« L’équipe responsable de la mise en place organisationnelle et technique du SMSI […] s’est impliquée très fortement […] pour mettre en place un système incroyablement mature […]. »

Une certification pour 3 ans mais un effort qui se poursuivra

La certification porte sur 3 ans. Durant cette période, les travaux continueront afin de faire progresser la sécurité. Parmi les chantiers majeurs à venir : la formation de l’ensemble du personnel, le renforcement du développement sécurisé et, encore et toujours, l’évolution de l’infrastructure. Pour continuer à développer ses activités et son SMSI, Almavia CX recrute de nouveaux collaborateurs sur les métiers techniques et orientés qualité de la cybersécurité.

Thierry Fau, RSSI d’Almavia CX