Almavia CX s'engage dans un processus de certification ISO 27001

Le contexte : une exigence interne partagée avec nos plus grands clients

Souvent largement médiatisées, les cyber-attaques sont de plus en plus violentes et  ciblent bien souvent des PME, en utilisant massivement l’ingénierie sociale. Almavia CX a déjà réalisé d’importants travaux pour se prémunir contre ce type de menaces et franchit aujourd’hui une nouvelle étape en s’engageant dans un processus de certification ISO 27001.

Rare dans le monde des ESN de taille moyenne car particulièrement exigeante, cette certification nous permettra d’accompagner tous nos clients et partenaires dans nos projets tout en étant à l’état de l’art en matière de sécurité de l’information. Elle représente un sésame dans certains secteurs sensibles comme la Défense, et, au vu des menaces grandissantes, pourrait prochainement devenir obligatoire pour d’autres secteurs comme la banque ou la santé. Quelques grands clients ont même exprimé des demandes allant au-delà de cette norme, auxquelles nous nous sommes engagés à répondre. Une telle exigence est normale car nombre de fuites de données subies par les grandes entreprises proviennent de sous-traitants.

Les acteurs d’Almavia CX mobilisés opérationnellement dans cette certification sont en premier lieu l’ensemble des managers ainsi que le RSSI (responsable de la sécurité des systèmes d’information) qui a suivi une formation afin de porter le projet de certification ISO 27001 et les changements induits dans l’entreprise.

Un projet d’entreprise

Chaque salarié est acteur de la sécurité. Au-delà des équipes en charge du SI d’Almavia CX, le projet mobilise donc l’ensemble de l’entreprise. Nous avons initié pour tous les salariés, un processus continu de sensibilisation. Certains personnels-clés sont informés et seront régulièrement formés – en particulier les développeurs. Cela se traduit par des investissements humains, logiciels et matériels significatifs.

Le projet comprend cinq phases allant de l’étude du contexte d’Almavia CX jusqu’à la mise en place d’un système de management de la sécurité de l’information (SMSI), qu’il s’agira ensuite de maintenir et d’améliorer.

Phase 1 : étude du contexte d’Almavia CX

En nous appuyant sur la cartographie macroscopique de notre système d’information, nous sommes en train de définir le périmètre d’application du SMSI et ses interfaces. L’un de nos objectifs est notamment de préciser nos interlocuteurs et les services auxquels les employés accèdent.

Nous passons également au crible les exigences contractuelles prises par Almavia CX. Par exemple, la plupart des contrats de support spécifient des horaires qui imposent la disponibilité de notre système d’information. Nous prenons aussi en compte les exigences particulières de chaque client. Dans la foulée, il s’agit d’étudier les exigences réglementaires pour nous y conformer. Dans notre cas, celles-ci resteront sans doute standard car nous n’hébergeons pas de données critiques comme ce serait par exemple le cas avec des données de santé.

En outre, nous examinons les usages d’Almavia CX, en partant de ce qui est décrit dans notre règlement intérieur ou notre charte informatique. Par exemple, l’entreprise cherche à faciliter le partage d’information entre les développeurs, même lorsqu’ils travaillent en dehors de nos locaux. De même, leurs postes de travail doivent être très performants. Les évolutions logicielles liées à la mise en œuvre de la norme ne doivent donc pas les pénaliser. Enfin, nous prenons en compte des contraintes pratiques et techniques, comme les risques de vol de PC ou de coupure réseau.

Cette phase 1 se concrétise par la proposition d’une PSI (politique de sécurité de l’information). Ce court document public marque l’engagement de la direction générale. Il s’agit d’une lettre qui annonce les objectifs de sécurité de l’entreprise, la mise en place d’un système de management de la sécurité de l’information (SMSI), l’amélioration continue de celui-ci et la volonté d’être certifié ISO 27001. En somme, c’est le top départ de tout projet de certification.

Phase 2 : réalisation de l’étude de risque

Cette phase que nous venons de démarrer consiste à réaliser une étude de risque. Pour ce faire, nous avons choisi la méthodologie EBIOS de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), dont la mise en œuvre est facilitée par un logiciel dédié. Cette analyse permet d’identifier les menaces les plus probables et les plus critiques, puis de définir un plan d’action, concrétisé par la mise en place du SMSI.

Phase 3 : mise en œuvre du plan d’action

Cette phase s’étale sur plusieurs mois et comprend différents chantiers techniques et humains.

Une infrastructure sécurisée
La première priorité est de rendre l’infrastructure conforme aux objectifs du SMSI. Dans cette optique, nous comptons externaliser une partie du système d’information Almavia CX. L’usage de services SaaS ou de serveurs hébergés chez des prestataires spécialisés est envisagé. Nous serons vigilants sur leurs propres SMSI et sur nos moyens de contrôle. Il s’agira aussi de limiter les risques d’intrusion physique dans nos locaux et d’en limiter aussi les conséquences en termes d’accès aux données d’Almavia CX par des tiers.

Un personnel responsabilisé
C’est durant cette phase que nous finaliserons la sensibilisation de l’ensemble des employés. En particulier, les bonnes pratiques seront rappelées pour limiter le risque de divulgation d’informations d’Almavia CX ou de nos clients.

Une production conforme à l’état de l’art de la sécurité
Dans un contexte de risques changeants et afin de maintenir notre exigence de qualité, nos consultants seront plus souvent formés aux dernières meilleures pratiques de sécurité de leur métier. Tous les développeurs devront ainsi maîtriser les recommandations de l’OWASP (Open Web Application Security Project), une communauté en ligne travaillant sur la sécurité des applications Web. Concrètement, celle-ci tient à jour la liste des dix risques de sécurité web les plus critiques et fournit des recommandations permettant de combler les failles de sécurité.

Phase 4 : audit et revue de direction

La mise en place du SMSI doit être validée par un audit interne qui débouche sur une revue de direction imposant par définition la présence de la direction générale. Enfin, un audit de certification est réalisé par un organisme externe agréé, comme l’AFNOR.

Phase 5 : maintenance et amélioration du SMSI

Une fois la certification obtenue, elle devra encore être conservée année après année. Dans cette optique, il conviendra d’assurer la maintenance du SMSI et de l’améliorer afin d’en garantir la pérennité. Un audit interne devra être réalisé, suivi d’une revue de direction. Au cours de celle-ci, les faits marquants de l’année, les indicateurs mis en place et les nouveaux éléments liés aux risques seront détaillés. Enfin, il sera nécessaire de se soumettre à un audit externe annuel de l’organisme de certification.

Auteur : Laurent Cagnon, Contrôle Qualité chez Almavia CX
Equipe projet : Laurent Cagnon, Thierry Fau, Damien Ribic. Cette équipe s’élargira à tous les métiers au fur et à mesure de l’avancement du projet.