La société Codasystem vient d’être certifié ISO/IEC 27001, preuve de la sécurité de ses processus. Le CRP Henri Tudor l’a accompagné dans la voie de la certification.
La sécurité de l’information est devenue une préoccupation importante au sein des entreprises. Dans un contexte réglementaire de plus en plus contraignant en matière de maîtrise des risques et pour répondre à une forte préoccupation des clients, la mise en place d’un système de management de la sécurité de l’information (SMSI) s’impose petit à petit comme une réponse probante. En effet, l’organisation internationale de normalisation (ISO) a publié en 2005 la norme ISO/IEC 27001 qui définit les bonnes pratiques pour la sécurité des systèmes d’information. L’ISO succède au British Standard Institute (BSI), qui fut, en 1995, le premier organisme à publier une norme dans ce domaine. Il est donc aujourd’hui possible de faire certifier son organisation pour apporter la preuve de la sécurité des processus de l’entreprise et accroître la confiance de ses clients.
C’est le choix qu’a fait la société Codasystem, jeune PME d’une dizaine d’employés, créée en 2001. L’activité de cette entreprise, située au Technoport d’Esch-sur-Alzette, repose sur la création d’originaux de photos numériques, qui ne peuvent être modifiés et qui sont conservés dans des conditions de sécurité en garantissant l’intégrité. Ainsi, Codasystem offre la possibilité à ses clients de prendre des photos avec un smartphone, puis en assure le traitement, de manière à donner force probante et permettre l’opposabilité à des tiers. Le matériel et le logiciel forment une solution homogène et légale qui certifie le document, sa date de création et sa localisation. Maîtrisant pour cela chacun des maillons de la chaîne depuis la création du document, jusqu’à son archivage, en passant par sa diffusion au destinataire final. C’est donc la spécificité de son activité et ses enjeux en termes de sécurité des informations traitées qui ont décidé Codasystem à se lancer, début 2007, sur la voie de la certification ISO/IEC 27001. De son côté, le CRP Henri Tudor s’intéresse de longue date à la sécurité des systèmes d’information. Ainsi, dans le cadre de ses projets de recherche Cassis Sécurité et Information Security Management System pour PME (ISMS_PME), en partenariat avec le Ministère de l’Economie et du Commerce Extérieur, le concept de normes comme un élément moteur de l’économie du savoir est promu. Il vise à proposer aux PME un outil adapté leur permettant de déployer leur système de management de la sécurité de l’information. Le CRP Henri Tudor, qui participe par ailleurs aux travaux du JTC1 (Joint Technical Committee) de révision de la norme ISO/IEC 27001, a donc trouvé chez Codasystem l’opportunité de tester sa démarche sur une PME luxembourgeoise du secteur IT et qui présentaient de fortes contraintes de sécurité.
L’expérimentation s’est déroulée en 8 étapes:
- Constitution et formation de l’équipe projet,
- Sensibilisation du personnel,
- Identification des processus clés, des actifs correspondants,
- Evaluation des risques associés,
- Elaboration de la politique et du plan de traitement,
- Rédaction des principaux documents du système de management (procédures, enregistrements, fiches de fonction),
- Traitement des risques et audit interne,
- Audit externe et certification.
L’entreprise a passé avec succès l’audit final au mois de mai et a obtenu le certificat quelques temps après. La réussite de cette expérimentation résulte de la capacité de la méthode à s’adapter aux spécificités d’une PME, notamment par la réduction de la structure documentaire, la limitation du nombre de processus et la responsabilisation du personnel à toutes les étapes. La démarche s’est, de plus, appuyée sur une équipe dirigeante très impliquée au quotidien dans le déploiement du système, et sur une équipe projet qui a toujours privilégié les solutions simples et pragmatiques pour convaincre le personnel. Du lancement du projet à l’audit final, 18 mois de travail ont été nécessaires. Et à l’heure du bilan, plusieurs constats s’imposent. Pour Codasystem, si l’investissement a été très important, l’implication de la direction, l’étalement dans le temps et la mise à contribution de tous ont permis de maintenir la satisfaction des clients et d’assurer la gestion des affaires courantes. Les bénéfices sont aujourd’hui au rendez-vous avec:
- une meilleure maîtrise des processus et des risques de l’entreprise,
- une approche proactive des incidents,
- un suivi continu des indicateurs clés du système d’information.
Tous ces éléments s’ajoutent au certificat pour faire progresser et promouvoir la sécurité de l'organisation et améliorer la confiance des clients. Pour le CRP Henri Tudor, l’expérience a permis de tester, de renforcer et d’adapter sa méthode de déploiement et le référentiel associé destiné aux PME. La méthode d’analyse des risques, le choix des processus, la documentation et la gestion du projet ont notamment fait l’objet d’une approche spécifique. Ainsi, le projet a grandement contribué au développement d’un guide à usage des PME luxembourgeoises, qui doivent faire face à des menaces numériques grandissantes, sans disposer des meilleures armes pour se protéger. Ce référentiel est en cours d’amélioration, avec le concours de l'ANSIL (Association de Normalisation pour la Société de l'Information du Luxembourg), et plus particulièrement de son groupe CNLSI (Comité de Normalisation Luxembourgeois pour la Sécurité de l'Information), ainsi qu'avec d’autres phases d'expérimentation dans les mois à venir. Issu d’un projet fortement supporté par le Ministère de l’Economie et du Commerce Extérieur, le guide a vocation à être ensuite largement diffusé afin de contribuer à la sensibilisation des PME, à l’accroissement de la sécurité de leurs informations et à la confiance des acteurs du marché.
Pour plus de renseignements sur le projet et sur les expérimentations à venir, vous pouvez contacter Sébastien Pineau (tel: +352 52 59 91 844 | e-mail: sebastien.pineau@tudor.lu) ou Béatrix Barafort (tel : +352 42 59 91 263 | beatrix.barafort@tudor.lu).
Sébastien Pineau (Ingénieur R&D – CRP Henri Tudor) et
Nicolas Mayer (Ingénieur R&D – CRP Henri Tudor)
|
