L'intérêt de l'ISO 27001 - La success story d'ENTERBRAIN Software

CONTENU

• Une étude de cas ISO 27001 - ENTERBRAIN s'appuie sur la certification
• Expériences pratiques positives avec ISO 27001
• La sécurité de l'information, fondement du succès et de la confiance
• Entretien avec Christian Körner
• Plans futurs et ISO 27001:2022
• Les leçons tirées de l'ISO 27001 chez ENTERBRAIN - Conclusion

Une étude de cas ISO 27001 - ENTERBRAIN mise sur la certification

Basé à Offenbach, en Allemagne, ENTERBRAIN Software GmbH est l'un des principaux fournisseurs de logiciels de collecte de fonds en Europe. Ses solutions logicielles aident les organisations à but non lucratif à gérer leurs dons et leurs membres. Ces solutions logicielles sont notamment utilisées pour gérer les données personnelles et les détails des paiements. La protection de ces informations confidentielles ainsi que leur intégrité et leur disponibilité sont des priorités absolues pour le fournisseur de logiciels et ses clients, y compris en ce qui concerne les aspects juridiques.

Le système de management de la sécurité de l'information, certifié selon la norme ISO 27001 depuis 2019, fournit un cadre pratique complet à cet effet. Il garantit la confidentialité, l'intégrité et la disponibilité des informations - les trois objectifs de protection de la sécurité de l'information. Le système de management établi définit des processus, des rôles et des autorisations contraignants et réduit systématiquement les risques liés à la sécurité de l'information, tout en instaurant la confiance avec les clients et les partenaires commerciaux.

Expériences pratiques positives avec ISO 27001

Grâce à l'utilisation active du système de management et à l'analyse et l'évaluation continues des menaces qui y sont associées, ENTERBRAIN est très bien positionnée dans le domaine de la sécurité de l'information et de la protection des données. Il existe une documentation complète de tous les objets de protection dans l'entreprise. En outre, des lignes directrices, des instructions techniques et des règles organisationnelles sont définies pour combler les lacunes en matière de sécurité.

L'approche systématique crée une bonne transparence sur les menaces et les processus nécessaires pour combler les lacunes en matière de sécurité. Des formations régulières sensibilisent tous les employés de l'entreprise à l'importance considérable de la sécurité de l'information.

Dans la pratique, le système de management de la sécurité de l'information a déjà fait ses preuves à maintes reprises. Notamment grâce à la formation régulière des employés. En 2020, par exemple, la propagation d'une nouvelle version du virus Emotet* a été évitée au sein de l'organisation.

* Emotet = famille de logiciels malveillants (macrovirus) envoyés par courrier électronique.

Grâce à la détection précoce de la menace par un employé du service, le pire a pu être évité. La nouvelle variante du virus n'a été détectée par aucun logiciel antivirus disponible sur le marché à l'époque.

Lors de l'incident, ENTERBRAIN a reçu un e-mail infecté d'un client, qui a été initialement ouvert par l'employé, qui a immédiatement signalé l'incident. L'équipe d'urgence a été activée et l'incident a été traité conformément au manuel d'urgence de sécurité de l'entreprise. Grâce à la réaction rapide et consciencieuse de l'employé, l'ordinateur affecté a été isolé et le virus n'a pas pu se propager dans le réseau interne. Une société d'informatique légale a été appelée pour enquêter sur la variante du virus et sur le réseau et fournir une assistance.

La sécurité de l'information, fondement du succès et de la confiance

Pour le fournisseur de logiciels de collecte de fonds et ses clients, le respect des réglementations est un élément essentiel de l'activité commerciale. Le respect de la protection des données et le comportement conforme de tous les employés de l'entreprise sont la base d'une coopération confiante avec les clients et les partenaires. En raison de ces exigences, l'entreprise est certifiée conformément à la norme ISO 27001 internationalement reconnue pour tous les services offerts.

Bien que la certification complète de tous les services soit nettement plus complexe que la certification d'une seule unité commerciale, le niveau plus élevé de sécurité de l'information est rentable pour l'entreprise. D'une part, cela signifie que la gestion de la sécurité de l'information, avec tous ses avantages, est en place pour toutes les unités d'affaires, et d'autre part, ENTERBRAIN bénéficie d'un avantage concurrentiel sur les autres acteurs du marché qui n'ont pas la certification ISO 27001.

En outre, le thème de la conformité gagne généralement en importance, de sorte que de nombreuses organisations ont également des exigences en matière de coopération avec une entreprise certifiée ISO 27001.

La transparence obtenue fournit à l'entreprise un excellent point de départ pour l'optimisation des processus afin d'accroître la satisfaction des clients et l'efficacité au sein de l'entreprise. Les processus et les domaines critiques pour l'entreprise sont également clairement définis et peuvent être rendus plus sûrs grâce à une minimisation ciblée des risques.

Entretien avec Christian Körner

Responsable des opérations chez ENTERBRAIN Software GmbH

Les avantages d'un système de management de la sécurité de l'information sont une chose. Cependant, pour sa certification et les audits de surveillance annuels qui y sont liés, les entreprises sont tributaires de la coopération avec un organisme de certification accrédité. Dans cette interview, Christian Körner parle de ses expériences avec ISO 27001.

DQS: Monsieur Körner, vous avez débuté dans la sécurité de l'information avec un système développé spécifiquement pour les PME. Lorsqu'il s'est agit de passer à la norme ISO 27001, une mise à niveau complète a été nécessaire. Cette approche serait-elle encore recommandée aujourd'hui compte tenu de la menace cybernétique massive à laquelle sont exposées les PME en particulier ?

Christian Körner : ENTERBRAIN a très tôt mis l'accent sur la sécurité de l'information et a ainsi joué un rôle de pionnier. Dans notre secteur, la sécurité de l'information est la base du succès et de la confiance. Dans le cadre de la transformation numérique accélérée, le sujet devient de plus en plus important.

Sur la base de notre expérience pratique et de l'augmentation des cybermenaces, nous recommandons désormais de commencer directement par la certification ISO 27001. L'intérêt du processus de certification réside dans la découverte d'éventuels risques de sécurité qui peuvent être éliminés ou au moins minimisés grâce à la transparence acquise. Cela contribue de manière significative à la sécurité de l'information dans l'entreprise.

DQS: Avec ISO 27001, vous avez jeté les bases d'un système de management reconnu - vous souvenez-vous encore du premier audit de certification avec DQS ?

Christian Körner : Lors de notre premier audit ISO 27001 en 2019, tout le monde dans l'entreprise était assez tendu. Bien que nous ayons déjà acquis de l'expérience grâce aux certifications de notre premier système de management de la sécurité de l'information à l'époque, la norme ISO 27001 était une classe à part.

Avec le recul, nous devons sourire un peu lorsque nous repensons à la première certification ISO 27001. D'une part, nous étions déjà très bien préparés à la norme ISO à l'époque ; d'autre part, nous ne pouvions que bénéficier du processus de certification en tant qu'entreprise, car toute non-conformité nous aurait montré de manière transparente le potentiel d'amélioration.

Après tout, notre objectif est de garantir et d'accroître la sécurité de l'information. C'est pourquoi nous sommes toujours prêts à recevoir des informations et des recommandations pour optimiser nos processus. Pour toute organisation qui n'est pas encore certifiée, je ne peux que recommander ce point. La certification ISO 27001 ne doit pas être basée sur le désir d'obtenir un certificat, mais sur la compréhension de l'importance énorme de la sécurité de l'information dans les entreprises aujourd'hui.

DQS: Au cours des audits de surveillance qui ont suivi, notre auditeur vous a-t-il donné des conseils utiles et exploitables sur les possibilités d'amélioration ?

Christian Körner : Pour nous, les audits de surveillance sont une partie importante de la certification et de l'optimisation continue, car l'échange direct avec l'auditeur fournit des informations précieuses pour la mise en œuvre dans la pratique, ce qui est un grand enrichissement pour nous. Dans le même temps, nous avons bénéficié des connaissances informatiques approfondies de notre auditeur et de sa compréhension du système au cours des dernières années. En lui, nous avons un sparring-partner expérimenté qui comprend bien les processus et qui tient compte de la taille de notre entreprise.

DQS: Vous avez terminé avec succès votre première recertification et vous allez bientôt passer à la nouvelle version, à savoir ISO/IEC 27001:2022 - êtes-vous déjà en contact avec DQS à ce sujet ?

Christian Körner : Oui, nous sommes déjà en contact avec DQS depuis plusieurs mois et nous nous préparons au passage. Nous sommes également en train de coordonner une éventuelle extension du "Privacy Information Management System".

DQS : Y a-t-il quelque chose que DQS pourrait améliorer en termes de coopération ?

Christian Körner : Nous sommes très satisfaits de la coopération. Cela est dû en grande partie à l'auditeur expérimenté qui, par son évaluation, nous aide considérablement à améliorer continuellement notre système.

DQS : M. Körner, merci pour cette agréable conversation et bonne chance pour la transition vers la nouvelle norme ISO/IEC 27001:2022 !

Projets d'avenir et ISO 27001:2022

ISO 27001 est une norme internationalement reconnue pour la sécurité de l'information qui a été publiée pour la première fois en anglais en 2005. La norme a été révisée en 2013 et a été l'une des premières grandes normes de système de management ISO à être convertie à la nouvelle structure de haut niveau de l'époque, ce qui facilite grandement son intégration dans les systèmes de management ISO existants. Une nouvelle révision a été effectuée en 2022, qui s'est concentrée sur l'adaptation de la norme à l'état le plus récent de la technologie de l'information.

ENTERBRAIN ne s'attend pas à des surprises lors du passage à la nouvelle norme ISO 27001:2022, au contraire : l'entreprise accueille favorablement la révision, car les domaines de la protection des données et de la cybersécurité en particulier seront renforcés.

L'entreprise analyse actuellement les nouvelles mesures et exigences et les compare aux processus et circonstances qui lui sont propres. Une évaluation des résultats intermédiaires sera ensuite réalisée afin de déterminer la nécessité de la mise en œuvre - en particulier en ce qui concerne les 93 contrôles de l'annexe A, dont certains sont nouveaux.

Les leçons de l'ISO 27001 chez ENTERBRAIN - Conclusion

La mise en place d'un système de management de la sécurité de l'information conforme à la norme ISO 27001 s'est avérée être une étape décisive dans le renforcement de la stratégie de sécurité de l'entreprise chez ENTERBRAIN. L'expérience acquise avec la certification ISO 27001 souligne l'importance d'une approche holistique qui inclut non seulement des mesures techniques mais aussi organisationnelles.

La certification ISO 27001 n'a pas seulement amélioré l'infrastructure de sécurité, mais a également augmenté de manière significative la confiance de ses clients et partenaires. Les employés ont été sensibilisés à l'importance de la sécurité de l'information, ce qui a conduit à une culture de la sécurité dans l'ensemble de l'entreprise. Bien que la mise en œuvre ait été associée à des défis, les effets positifs l'emportent clairement sur les effets négatifs.

La conclusion de l'expérience avec ISO 27001 est claire : la certification est plus qu'un simple certificat - c'est un processus continu qui rend l'entreprise plus résistante aux menaces et lui offre un avantage concurrentiel évident.

Expertise et confiance

Le point de vue holistique et neutre de nos auditeurs expérimentés sur les personnes, les processus, les systèmes et les résultats montre l'efficacité de votre système de management de la sécurité de l'information et la manière dont il est mis en œuvre et contrôlé. Il est important pour nous que vous perceviez la certification selon la norme ISO non pas comme un test, mais comme un enrichissement de votre système de management.

Nos audits vous apportent de la clarté. Nos clients y voient une opportunité. Pour eux, les commentaires de l'auditeur indépendant sur le potentiel d'amélioration et les risques éventuels sont tout aussi précieux que le certificat DQS comme preuve de leur capacité à assurer la qualité. Pour garantir que cela reste le cas, nous accordons une attention particulière à l'intégrité et à l'objectivité - vous trouverez plus d'informations à ce sujet dans notre philosophie d'audit.

Lors de l'audit, nous demandons spécifiquement "pourquoi" parce que nous voulons comprendre les raisons pour lesquelles vous avez choisi une méthode de mise en œuvre particulière. Nous mettons l'accent sur les possibilités d'amélioration et encourageons un changement de perspective. De cette manière, vous reconnaissez les possibilités d'action qui vous permettront d'améliorer continuellement votre système de management. Prenez-nous au mot.

Remarque: nos articles sont rédigés exclusivement par nos experts en normes pour les systèmes de management et par des auditeurs de longue date. Si vous avez des questions à poser à l'auteur, n'hésitez pas à nous contacter. Nous nous réjouissons d'ores et déjà d'échanger avec vous.