Les leçons de l'ISO 27001 - une étude de cas d'ENTERBRAIN Software

SOMMAIRE

• Une étude de cas ISO 27001 - ENTERBRAIN s'appuie sur la certification
• Expériences pratiques positives avec ISO 27001
• La sécurité de l'information, base du succès et de la confiance
• Entretien avec Christian Körner
• Plans futurs et ISO 27001:2022
• Les leçons tirées de l'ISO 27001 chez ENTERBRAIN - Conclusion

Une étude de cas ISO 27001 - ENTERBRAIN s'appuie sur la certification

ENTERBRAIN Software GmbH, basé à Offenbach, en Allemagne, est l'un des principaux fournisseurs de logiciels de collecte de fonds en Europe. Ses solutions logicielles aident les organisations à but non lucratif à gérer leurs dons et leurs membres. Ces solutions logicielles sont notamment utilisées pour gérer les données personnelles et les détails de paiement. La protection de ces informations confidentielles, leur intégrité et leur disponibilité sont des priorités absolues pour le fournisseur de logiciels et ses clients, y compris du point de vue juridique.

Le système de gestion de la sécurité de l'information, certifié ISO 27001 depuis 2019, fournit un cadre pratique complet à cet effet. Il garantit la confidentialité, l'intégrité et la disponibilité des informations - les trois objectifs de protection de la sécurité de l'information. Le système de gestion établi définit des processus, des rôles et des autorisations contraignants et réduit systématiquement les risques liés à la sécurité de l'information, tout en créant la confiance avec les clients et les partenaires commerciaux.

Expériences pratiques positives avec ISO 27001

Grâce à l'utilisation active du système de gestion et à l'analyse et l'évaluation continues des menaces, ENTERBRAIN est très bien positionnée dans le domaine de la sécurité de l'information et de la protection des données. Tous les objets de protection de l'entreprise sont largement documentés. En outre, des lignes directrices, des instructions techniques et des règles organisationnelles ont été définies pour combler les lacunes en matière de sécurité.

L'approche systématique garantit une bonne transparence sur les menaces et les processus nécessaires pour combler les lacunes en matière de sécurité. Des formations de sensibilisation régulières permettent à tous les employés de l'entreprise de prendre conscience de l'importance considérable de la sécurité de l'information.

Dans la pratique, le système de gestion de la sécurité de l'information a fait ses preuves à maintes reprises. Notamment grâce à la formation régulière des employés. En 2020, par exemple, la propagation d'une nouvelle version du virus Emotet* au sein de l'organisation a été évitée.

* Emotet = famille de logiciels malveillants (macrovirus) envoyés par courrier électronique.

Grâce à la détection précoce de la menace par un employé du service, le pire a pu être évité. La nouvelle variante du virus n'a pas été détectée par les logiciels antivirus disponibles sur le marché à l'époque.

Lors de l'incident, ENTERBRAIN a reçu un e-mail infecté d'un client, qui a été ouvert par l'employé, qui a immédiatement signalé l'incident. En conséquence, l'équipe d'urgence a été activée et l'incident a été traité conformément au manuel d'urgence de sécurité de l'entreprise. Grâce à la réaction rapide et consciencieuse de l'employé, l'ordinateur affecté a été isolé et le virus n'a pas pu se propager dans le réseau interne. Une société d'informatique légale a été appelée pour enquêter sur la variante du virus et sur le réseau et fournir une assistance.

La sécurité de l'information, base du succès et de la confiance

Pour le fournisseur de logiciels de collecte de fonds et ses clients, la conformité réglementaire est un élément essentiel de l'activité commerciale. Le respect de la protection des données et le comportement conforme de tous les employés de l'entreprise constituent la base d'une coopération confiante avec les clients et les partenaires. En raison de ces exigences, l'entreprise est certifiée selon la norme ISO 27001, reconnue au niveau international, pour tous les services qu'elle propose.

Bien qu'une certification complète pour tous les services soit considérablement plus complexe qu'une certification pour une seule unité commerciale, le niveau plus élevé de sécurité de l'information est rentable pour l'entreprise. D'une part, cela signifie que la gestion de la sécurité de l'information, avec tous ses avantages, est en place pour toutes les unités d'affaires, et d'autre part, ENTERBRAIN bénéficie d'un avantage concurrentiel sur les autres acteurs du marché qui n'ont pas la certification ISO 27001.

En outre, le sujet de la conformité devient généralement de plus en plus important, de sorte que de nombreuses organisations ont également l'obligation de coopérer avec une entreprise certifiée ISO 27001.

La transparence ainsi obtenue offre à l'entreprise un excellent point de départ pour l'optimisation des processus afin d'accroître la satisfaction des clients et l'efficacité au sein de l'entreprise. Les processus et les domaines critiques pour l'entreprise sont également clairement définis et peuvent être rendus plus sûrs grâce à une minimisation ciblée des risques.

Entretien avec Christian Körner

Responsable des opérations chez ENTERBRAIN Software GmbH

Les avantages d'un système de gestion de la sécurité de l'information sont une chose. Mais pour sa certification et les audits de surveillance annuels qui y sont liés, les entreprises dépendent de la coopération avec un organisme de certification accrédité. Dans cette interview, Christian Körner parle de ses expériences avec ISO 27001.

DQS: Monsieur Körner, vous avez débuté dans la sécurité de l'information avec un système développé spécifiquement pour les PME. Lorsque vous êtes passé à la norme ISO 27001, une mise à niveau complète a été nécessaire - cette approche serait-elle encore recommandée aujourd'hui compte tenu de l'énorme menace cybernétique à laquelle sont exposées les PME en particulier ?

Christian Körner : ENTERBRAIN a très tôt mis l'accent sur la sécurité de l'information, jouant ainsi un rôle de pionnier. Dans notre secteur, la sécurité de l'information est la base du succès et de la confiance. Dans le cadre de la transformation numérique accélérée, le sujet devient de plus en plus important.

Sur la base de notre expérience pratique et de l'augmentation des cybermenaces, nous recommandons désormais d'entamer immédiatement la certification ISO 27001. L'intérêt du processus de certification réside dans la découverte d'éventuels risques de sécurité qui peuvent être éliminés ou au moins minimisés grâce à la transparence obtenue. Cela contribue de manière significative à la sécurité de l'information dans l'entreprise.

DQS: Avec ISO 27001, vous avez jeté les bases d'un système de gestion reconnu - vous souvenez-vous du premier audit de certification avec DQS ?

Christian Körner : Lors de notre premier audit ISO 27001 en 2019, tout le monde dans l'entreprise était assez tendu. Bien que nous ayons déjà fait l'expérience de la certification de notre premier système de gestion de la sécurité de l'information à l'époque, la norme ISO 27001 était une classe à part.

Rétrospectivement, nous devons sourire un peu lorsque nous repensons à la première certification ISO 27001. D'une part, nous étions déjà très bien préparés à la norme ISO à l'époque, d'autre part, en tant qu'entreprise, nous ne pouvions que bénéficier du processus de certification, car tout écart nous aurait montré de manière transparente notre potentiel d'amélioration.

En fin de compte, notre objectif est de garantir et d'améliorer la sécurité de l'information. C'est pourquoi nous sommes toujours prêts à recevoir des informations et des recommandations pour optimiser nos processus. Pour toute organisation qui n'est pas encore certifiée, je ne peux que recommander ce point. La certification ISO 27001 ne devrait pas être basée sur le désir d'obtenir un certificat, mais sur la compréhension du fait que la sécurité de l'information est extrêmement importante dans les entreprises aujourd'hui.

DQS: Lors des audits de surveillance qui ont suivi, notre auditeur vous a-t-il donné des conseils utiles et exploitables sur le potentiel d'amélioration ?

Christian Körner : Pour nous, les audits de surveillance sont une partie importante de la certification et de l'optimisation continue, car l'échange direct avec l'auditeur fournit des informations précieuses pour la mise en œuvre dans la pratique, ce qui est un grand enrichissement pour nous. En même temps, nous avons bénéficié ces dernières années des connaissances informatiques approfondies de notre auditeur et de sa compréhension du système. En lui, nous avons un sparring partner expérimenté qui comprend bien les processus et tient compte de la taille de notre entreprise.

DQS: Vous avez terminé avec succès la première recertification et vous allez bientôt passer à la nouvelle version, à savoir ISO/IEC 27001:2022 - êtes-vous déjà en contact avec DQS à ce sujet ?

Christian Körner : Oui, nous sommes en contact avec la DQS depuis plusieurs mois et nous préparons le passage à la nouvelle version. Nous coordonnons également une éventuelle extension du "système de gestion des informations relatives à la protection de la vie privée".

DQS : Y a-t-il quelque chose que DQS pourrait améliorer en termes de coopération ?

Christian Körner : Nous sommes très satisfaits de la collaboration. Cela est dû en grande partie à l'auditeur expérimenté, dont l'évaluation nous aide considérablement à améliorer continuellement notre système.

DQS : M. Körner, merci pour cette agréable conversation et bonne chance pour la transition vers la nouvelle norme ISO/IEC 27001:2022 !

Projets d'avenir et ISO 27001:2022

ISO 27001 est une norme de sécurité de l'information internationalement reconnue qui a été publiée pour la première fois en anglais en 2005. La norme a été révisée en 2013 et a été l'une des premières grandes normes de système de gestion ISO à être convertie à la nouvelle structure de haut niveau de l'époque, ce qui la rend désormais beaucoup plus facile à intégrer dans les systèmes de gestion ISO existants. Une nouvelle révision a été effectuée en 2022, visant à adapter la norme aux dernières technologies de l'information.

ENTERBRAIN ne s'attend pas à des surprises lors de la transition vers la nouvelle norme ISO 27001:2022; au contraire, l'entreprise accueille favorablement la révision, car les domaines de la protection des données et de la cybersécurité en particulier seront renforcés.

L'entreprise analyse actuellement les nouvelles mesures et exigences et les compare aux processus et circonstances qui lui sont propres. Un examen des résultats intermédiaires sera ensuite effectué pour déterminer la nécessité de la mise en œuvre - en particulier en ce qui concerne les 93 contrôles de l'annexe A, dont certains sont nouveaux.

Les leçons de l'ISO 27001 chez ENTERBRAIN - Conclusion

La mise en place d'un système de gestion de la sécurité de l'information conforme à la norme ISO 27001 s'est avérée être une étape décisive dans le renforcement de la stratégie de sécurité de l'entreprise chez ENTERBRAIN. L'expérience acquise grâce à la certification ISO 27001 souligne l'importance d'une approche holistique qui inclut non seulement des mesures techniques mais aussi organisationnelles.

La certification ISO 27001 a non seulement amélioré l'infrastructure de sécurité, mais elle a également renforcé de manière significative la confiance des clients et des partenaires. Les employés ont pris conscience de l'importance de la sécurité de l'information, ce qui a conduit à une culture de la sécurité dans l'ensemble de l'entreprise. Bien que la mise en œuvre ait été accompagnée de défis, les effets positifs l'ont clairement emporté sur les effets négatifs.

La conclusion de l'expérience ISO 27001 est claire : la certification est plus qu'un simple certificat - c'est un processus continu qui rend l'entreprise plus résistante aux menaces et lui procure un avantage concurrentiel évident.

Expertise et confiance

La vision holistique et neutre des personnes, des processus, des systèmes et des résultats qu'ont nos auditeurs expérimentés révèle l'efficacité de votre système de gestion de la sécurité de l'information, ainsi que la manière dont il est mis en œuvre et contrôlé. Il est important pour nous que vous ne considériez pas la certification à la norme ISO comme un test, mais comme un enrichissement de votre système de gestion.

Nos audits vous apportent de la clarté. Nos clients y voient une opportunité. Pour eux, les commentaires de l'auditeur indépendant sur le potentiel d'amélioration et les risques éventuels ont autant de valeur qu'un certificat DQS comme preuve de leur capacité à assurer la qualité. Pour nous en assurer, nous accordons une grande attention à l'intégrité et à l'objectivité - vous trouverez plus d'informations à ce sujet dans notre philosophie d'audit.

Pendant l'audit, nous demandons spécifiquement "pourquoi" parce que nous voulons comprendre pourquoi vous avez choisi une méthode de mise en œuvre particulière. Nous nous concentrons sur le potentiel d'amélioration et encourageons un changement de perspective. De cette manière, vous reconnaîtrez les possibilités d'action qui vous permettront d'améliorer continuellement votre système de gestion. Croyez-nous sur parole.

Remarque: nos articles sont rédigés exclusivement par nos experts en normes de systèmes de management et nos auditeurs expérimentés. Si vous avez des questions à poser à l'auteur, n'hésitez pas à nous contacter. Nous nous ferons un plaisir de vous aider.