En septembre 2022 nous vous informions qu'Aqua Ray avait été certifié conforme aux exigences des normes de sécurité ISO27001 et HDS. Pour cet article, le RSSI* d’Aqua Ray Loïc Quentin, a répondu à quelques questions afin de revenir sur les étapes qui ont été nécessaires à l’obtention de ces certifications.
En septembre 2022 nous vous informions qu'Aqua Ray avait été certifié conforme aux exigences des normes de sécurité ISO27001 et HDS. Pour cet article, le RSSI* d’Aqua Ray Loïc Quentin, a répondu à quelques questions afin de revenir sur les étapes qui ont été nécessaires à l’obtention de ces certifications.
*RSSI (Responsable de la Sécurité des Systèmes d’Information) : l'expert qui garantit la sécurité du système d'information. Il développe, met en œuvre et suit l'application des politiques de sécurité de l'information d'une entreprise.
*RSSI (Responsable de la Sécurité des Systèmes d’Information) : l'expert qui garantit la sécurité du système d'information. Il développe, met en œuvre et suit l'application des politiques de sécurité de l'information d'une entreprise.
Étape 1 : identification des référentiels
Pourquoi s’être lancé dans ce processus de certification ?
« L’objectif était de pouvoir garantir à nos clients un traitement responsable et sécurisé de leur données à partir d'une base de référence commune : le référentiel ISO27001. »
« L’objectif était de pouvoir garantir à nos clients un traitement responsable et sécurisé de leur données à partir d'une base de référence commune : le référentiel ISO27001. »
Qu’est-ce qu’un référentiel ?
« Il s’agit d’une liste d'exigences associées à une norme. Les normes ISO27001 et HDS concernent le SMSI. HDS se base sur ISO27001 et y ajoute quelques exigences complémentaires spécifiques aux données de santé. »
« Il s’agit d’une liste d'exigences associées à une norme. Les normes ISO27001 et HDS concernent le SMSI. HDS se base sur ISO27001 et y ajoute quelques exigences complémentaires spécifiques aux données de santé. »
*Le SMSI (Système de Management de la Sécurité de l’Information) est l'ensemble des moyens techniques et organisationnels mis en œuvre pour garantir la disponibilité, l'intégrité et la confidentialité des données traitées par l'entreprise. Cela inclut tant les politiques de sécurité que les équipements utilisés, par exemple.
*Le SMSI (Système de Management de la Sécurité de l’Information) est l'ensemble des moyens techniques et organisationnels mis en œuvre pour garantir la disponibilité, l'intégrité et la confidentialité des données traitées par l'entreprise. Cela inclut tant les politiques de sécurité que les équipements utilisés, par exemple.
Les normes ISO27001 et HDS visent à assurer que les mesures mises en œuvre sont conformes à un spectre d'exigences reconnues comme suffisantes dans le monde pour garantir que les données sont traitées correctement.
Les normes ISO27001 et HDS visent à assurer que les mesures mises en œuvre sont conformes à un spectre d'exigences reconnues comme suffisantes dans le monde pour garantir que les données sont traitées correctement.
Le référentiel HDS est disponible sur le site de l'ANS (Agence du Numérique en Santé). En revanche, le contenu complet de la norme ISO27001 n'est pas accessible publiquement (la version 2013 sera remplacée par la version 2022 parue en octobre dernier).
Le référentiel HDS est disponible sur le site de l'ANS (Agence du Numérique en Santé). En revanche, le contenu complet de la norme ISO27001 n'est pas accessible publiquement (la version 2013 sera remplacée par la version 2022 parue en octobre dernier).
Étape 2 : l’état des lieux
Comment le SMSI d'Aqua Ray a-t-il été évalué vis-à-vis de ces normes ?
« Une fois les référentiels identifiés, nous avons commencé par faire un état des lieux d’Aqua Ray :
« Une fois les référentiels identifiés, nous avons commencé par faire un état des lieux d’Aqua Ray :
Cet état des lieux est établi en menant un audit avec un consultant spécialisé qui nous conseille sur la manière d'implémenter les différentes exigences.
Une fois l'état des lieux terminé, la partie la plus longue du travail commence : la mise à niveau du SMSI pour respecter toutes les exigences des normes ISO27001 et HDS. »
Cet état des lieux est établi en menant un audit avec un consultant spécialisé qui nous conseille sur la manière d'implémenter les différentes exigences.
Une fois l'état des lieux terminé, la partie la plus longue du travail commence : la mise à niveau du SMSI pour respecter toutes les exigences des normes ISO27001 et HDS. »
Étape 3 : la mise en conformité
Comment s’est passée la mise en conformité du SMSI à ces normes ?
« Pendant des mois, avec l’aide de notre consultant, nous avons traité tous les points de non-conformité identifiés, en formalisant avec des politiques de sécurité et des procédures d'implémentation claires nos méthodes de travail. Il a parfois été nécessaire de changer nos habitudes, mais dans l'ensemble, il s'agissait de formaliser des bonnes pratiques déjà appliquées.
« Pendant des mois, avec l’aide de notre consultant, nous avons traité tous les points de non-conformité identifiés, en formalisant avec des politiques de sécurité et des procédures d'implémentation claires nos méthodes de travail. Il a parfois été nécessaire de changer nos habitudes, mais dans l'ensemble, il s'agissait de formaliser des bonnes pratiques déjà appliquées.
Tout est passé en revue : de la politique de contrôle d'accès physique à la procédure de mise au rebut du matériel, en passant par la gestion des arrivées de nouveaux employés et même la politique de communication d'informations aux clients.
Tout est passé en revue : de la politique de contrôle d'accès physique à la procédure de mise au rebut du matériel, en passant par la gestion des arrivées de nouveaux employés et même la politique de communication d'informations aux clients.
Toute la vie de la société est concernée, et tous les employés sont parties prenantes au projet. En parallèle, nous avons formé le personnel Aqua Ray aux notions de Sécurité de l'Information et j’ai été nommé RSSI pour piloter le projet. »
Toute la vie de la société est concernée, et tous les employés sont parties prenantes au projet. En parallèle, nous avons formé le personnel Aqua Ray aux notions de Sécurité de l'Information et j’ai été nommé RSSI pour piloter le projet. »
Étape 4 : l’audit interne
À quel moment l'audit de certification a-t-il été planifié ?
« Une fois que nous sommes sentis prêts, nous avons planifié un nouvel audit interne avec notre consultant. Celui-ci se déroule comme un audit de certification, c'est-à-dire que l'auditeur se place hors du SMSI et nous interroge de manière impartiale.
Nous avons mené cet audit au début de l'année 2022. À son issue, nous avons identifié quelques non-conformités résiduelles que nous pensions pouvoir adresser avant l'été.
Nous avons donc contacté l'AFNOR (organisme de référence pour la certification ISO27001 et HDS) et convenu d'une date au cours de l'été 2022. »
« Une fois que nous sommes sentis prêts, nous avons planifié un nouvel audit interne avec notre consultant. Celui-ci se déroule comme un audit de certification, c'est-à-dire que l'auditeur se place hors du SMSI et nous interroge de manière impartiale.
Nous avons mené cet audit au début de l'année 2022. À son issue, nous avons identifié quelques non-conformités résiduelles que nous pensions pouvoir adresser avant l'été.
Nous avons donc contacté l'AFNOR (organisme de référence pour la certification ISO27001 et HDS) et convenu d'une date au cours de l'été 2022. »
Étape 5 : l’audit final
Comment s’est déroulé l’audit final ? La mise en conformité a-t-elle été bénéfique ?
« L’audit final s’est divisé en 2 parties :
« L’audit final s’est divisé en 2 parties :
-
En Mai 2022 : un auditeur effectue une revue de quelques documents essentiels pour évaluer notre maturité et celle de notre SMSI vis-à-vis de notre demande de certification.
-
En Juillet 2022 : l'auditeur conduit un audit complet de notre SMSI, de nos locaux, de nos installations et du personnel pour vérifier que toutes les exigences sont satisfaites
Malgré quelques points de non-conformités mineures à corriger avant l’audit de renouvellement. L'auditeur a relevé plusieurs points forts, qui ont appuyé la décision de certification du comité de l’AFNOR :
Malgré quelques points de non-conformités mineures à corriger avant l’audit de renouvellement. L'auditeur a relevé plusieurs points forts, qui ont appuyé la décision de certification du comité de l’AFNOR :
-
Un engagement fort de la direction Aqua Ray a été constaté : Toute l'équipe de direction est impliquée dans le processus de certification et de mise en conformité. Ce projet n'est pas seulement le mien, mais celui de toute la société.
-
Les politiques de sécurité de l’information sont stockées et gérées via un outil de documentation interne. La liste des politiques est complète et bien structurée dans son suivi (validation, approbation, classification, dernière modification...). Toutes ces politiques sont accessibles à tous les collaborateurs. Chaque mise à jour de politique fait l’objet d’une communication interne aux personnes concernées [...] : Notre base documentaire est accessible à tous les employés, donc tout le monde peut participer à son amélioration.
-
Sécurité physique et environnementale très satisfaisante : Notre data center certifié Tier IV présente de bonnes garanties de sécurité physique.
-
Très bon niveau de résilience/redondance des infrastructures : Nous avons plusieurs boucles réseau, ainsi qu'un accès possible via un réseau indépendant, comme présenté dans nos articles sur Starlink
1 2
La certification accordée est valide pour 1 an et chaque renouvellement s'effectue au cours d'un audit partiel. Après 3 ans, un nouvel audit est réalisé pour suivre les évolutions du SMSI sur la durée. »
La certification accordée est valide pour 1 an et chaque renouvellement s'effectue au cours d'un audit partiel. Après 3 ans, un nouvel audit est réalisé pour suivre les évolutions du SMSI sur la durée. »