10 Novembre 2022 - Actualités

Retour d’expérience sur l’obtention des certifications ISO27001 et HDS

En septembre 2022 nous vous informions qu'Aqua Ray avait été certifié conforme aux exigences des normes de sécurité ISO27001 et HDS. Pour cet article, le RSSI* d’Aqua Ray Loïc Quentin, a répondu à quelques questions afin de revenir sur les étapes qui ont été nécessaires à l’obtention de ces certifications.

En septembre 2022 nous vous informions qu'Aqua Ray avait été certifié conforme aux exigences des normes de sécurité ISO27001 et HDS. Pour cet article, le RSSI* d’Aqua Ray Loïc Quentin, a répondu à quelques questions afin de revenir sur les étapes qui ont été nécessaires à l’obtention de ces certifications.

*RSSI (Responsable de la Sécurité des Systèmes d’Information) : l'expert qui garantit la sécurité du système d'information. Il développe, met en œuvre et suit l'application des politiques de sécurité de l'information d'une entreprise.

*RSSI (Responsable de la Sécurité des Systèmes d’Information) : l'expert qui garantit la sécurité du système d'information. Il développe, met en œuvre et suit l'application des politiques de sécurité de l'information d'une entreprise.

Étape 1 : identification des référentiels

Pourquoi s’être lancé dans ce processus de certification ?

« L’objectif était de pouvoir garantir à nos clients un traitement responsable et sécurisé de leur données à partir d'une base de référence commune : le référentiel ISO27001. »

« L’objectif était de pouvoir garantir à nos clients un traitement responsable et sécurisé de leur données à partir d'une base de référence commune : le référentiel ISO27001. »

Qu’est-ce qu’un référentiel ?

« Il s’agit d’une liste d'exigences associées à une norme. Les normes ISO27001 et HDS concernent le SMSI. HDS se base sur ISO27001 et y ajoute quelques exigences complémentaires spécifiques aux données de santé. »

« Il s’agit d’une liste d'exigences associées à une norme. Les normes ISO27001 et HDS concernent le SMSI. HDS se base sur ISO27001 et y ajoute quelques exigences complémentaires spécifiques aux données de santé. »

*Le SMSI (Système de Management de la Sécurité de l’Information) est l'ensemble des moyens techniques et organisationnels mis en œuvre pour garantir la disponibilité, l'intégrité et la confidentialité des données traitées par l'entreprise. Cela inclut tant les politiques de sécurité que les équipements utilisés, par exemple.

*Le SMSI (Système de Management de la Sécurité de l’Information) est l'ensemble des moyens techniques et organisationnels mis en œuvre pour garantir la disponibilité, l'intégrité et la confidentialité des données traitées par l'entreprise. Cela inclut tant les politiques de sécurité que les équipements utilisés, par exemple.

Les normes ISO27001 et HDS visent à assurer que les mesures mises en œuvre sont conformes à un spectre d'exigences reconnues comme suffisantes dans le monde pour garantir que les données sont traitées correctement.

Les normes ISO27001 et HDS visent à assurer que les mesures mises en œuvre sont conformes à un spectre d'exigences reconnues comme suffisantes dans le monde pour garantir que les données sont traitées correctement.

Le référentiel HDS est disponible sur le site de l'ANS (Agence du Numérique en Santé). En revanche, le contenu complet de la norme ISO27001 n'est pas accessible publiquement (la version 2013 sera remplacée par la version 2022 parue en octobre dernier).

Le référentiel HDS est disponible sur le site de l'ANS (Agence du Numérique en Santé). En revanche, le contenu complet de la norme ISO27001 n'est pas accessible publiquement (la version 2013 sera remplacée par la version 2022 parue en octobre dernier).

Étape 2 : l’état des lieux

État des lieux

Comment le SMSI d'Aqua Ray a-t-il été évalué vis-à-vis de ces normes ?

« Une fois les référentiels identifiés, nous avons commencé par faire un état des lieux d’Aqua Ray :

« Une fois les référentiels identifiés, nous avons commencé par faire un état des lieux d’Aqua Ray :

  • Vérifier les exigences déjà satisfaites (beaucoup d'exigences sont en réalité de l’ordre du « bon sens » avec plus de formalisme)
  • Analyser les manquements
  • Planifier les tâches de correction de ces manquements

Cet état des lieux est établi en menant un audit avec un consultant spécialisé qui nous conseille sur la manière d'implémenter les différentes exigences.
Une fois l'état des lieux terminé, la partie la plus longue du travail commence : la mise à niveau du SMSI pour respecter toutes les exigences des normes ISO27001 et HDS.  »

Cet état des lieux est établi en menant un audit avec un consultant spécialisé qui nous conseille sur la manière d'implémenter les différentes exigences.
Une fois l'état des lieux terminé, la partie la plus longue du travail commence : la mise à niveau du SMSI pour respecter toutes les exigences des normes ISO27001 et HDS.  »

Étape 3 : la mise en conformité

Comment s’est passée la mise en conformité du SMSI à ces normes ?

« Pendant des mois, avec l’aide de notre consultant, nous avons traité tous les points de non-conformité identifiés, en formalisant avec des politiques de sécurité et des procédures d'implémentation claires nos méthodes de travail. Il a parfois été nécessaire de changer nos habitudes, mais dans l'ensemble, il s'agissait de formaliser des bonnes pratiques déjà appliquées.

« Pendant des mois, avec l’aide de notre consultant, nous avons traité tous les points de non-conformité identifiés, en formalisant avec des politiques de sécurité et des procédures d'implémentation claires nos méthodes de travail. Il a parfois été nécessaire de changer nos habitudes, mais dans l'ensemble, il s'agissait de formaliser des bonnes pratiques déjà appliquées.

Tout est passé en revue : de la politique de contrôle d'accès physique à la procédure de mise au rebut du matériel, en passant par la gestion des arrivées de nouveaux employés et même la politique de communication d'informations aux clients.

Tout est passé en revue : de la politique de contrôle d'accès physique à la procédure de mise au rebut du matériel, en passant par la gestion des arrivées de nouveaux employés et même la politique de communication d'informations aux clients.

Toute la vie de la société est concernée, et tous les employés sont parties prenantes au projet. En parallèle, nous avons formé le personnel Aqua Ray aux notions de Sécurité de l'Information et j’ai été nommé RSSI pour piloter le projet. »

Toute la vie de la société est concernée, et tous les employés sont parties prenantes au projet. En parallèle, nous avons formé le personnel Aqua Ray aux notions de Sécurité de l'Information et j’ai été nommé RSSI pour piloter le projet. »

Étape 4 : l’audit interne

À quel moment l'audit de certification a-t-il été planifié ?

« Une fois que nous sommes sentis prêts, nous avons planifié un nouvel audit interne avec notre consultant. Celui-ci se déroule comme un audit de certification, c'est-à-dire que l'auditeur se place hors du SMSI et nous interroge de manière impartiale.
Nous avons mené cet audit au début de l'année 2022. À son issue, nous avons identifié quelques non-conformités résiduelles que nous pensions pouvoir adresser avant l'été.
Nous avons donc contacté l'AFNOR (organisme de référence pour la certification ISO27001 et HDS) et convenu d'une date au cours de l'été 2022. »

Audit interne

« Une fois que nous sommes sentis prêts, nous avons planifié un nouvel audit interne avec notre consultant. Celui-ci se déroule comme un audit de certification, c'est-à-dire que l'auditeur se place hors du SMSI et nous interroge de manière impartiale.
Nous avons mené cet audit au début de l'année 2022. À son issue, nous avons identifié quelques non-conformités résiduelles que nous pensions pouvoir adresser avant l'été.
Nous avons donc contacté l'AFNOR (organisme de référence pour la certification ISO27001 et HDS) et convenu d'une date au cours de l'été 2022. »

Étape 5 : l’audit final

Comment s’est déroulé l’audit final ? La mise en conformité a-t-elle été bénéfique ?

« L’audit final s’est divisé en 2 parties :

« L’audit final s’est divisé en 2 parties :

  • En Mai 2022 : un auditeur effectue une revue de quelques documents essentiels pour évaluer notre maturité et celle de notre SMSI vis-à-vis de notre demande de certification.
  • En Juillet 2022 : l'auditeur conduit un audit complet de notre SMSI, de nos locaux, de nos installations et du personnel pour vérifier que toutes les exigences sont satisfaites

Malgré quelques points de non-conformités mineures à corriger avant l’audit de renouvellement. L'auditeur a relevé plusieurs points forts, qui ont appuyé la décision de certification du comité de l’AFNOR :

Malgré quelques points de non-conformités mineures à corriger avant l’audit de renouvellement. L'auditeur a relevé plusieurs points forts, qui ont appuyé la décision de certification du comité de l’AFNOR :

  • Un engagement fort de la direction Aqua Ray a été constaté : Toute l'équipe de direction est impliquée dans le processus de certification et de mise en conformité. Ce projet n'est pas seulement le mien, mais celui de toute la société.
  • Les politiques de sécurité de l’information sont stockées et gérées via un outil de documentation interne. La liste des politiques est complète et bien structurée dans son suivi (validation, approbation, classification, dernière modification...). Toutes ces politiques sont accessibles à tous les collaborateurs. Chaque mise à jour de politique fait l’objet d’une communication interne aux personnes concernées [...] : Notre base documentaire est accessible à tous les employés, donc tout le monde peut participer à son amélioration.
  • Sécurité physique et environnementale très satisfaisante : Notre data center certifié Tier IV présente de bonnes garanties de sécurité physique.
  • Très bon niveau de résilience/redondance des infrastructures : Nous avons plusieurs boucles réseau, ainsi qu'un accès possible via un réseau indépendant, comme présenté dans nos articles sur Starlink 1 2

La certification accordée est valide pour 1 an et chaque renouvellement s'effectue au cours d'un audit partiel. Après 3 ans, un nouvel audit est réalisé pour suivre les évolutions du SMSI sur la durée. »

La certification accordée est valide pour 1 an et chaque renouvellement s'effectue au cours d'un audit partiel. Après 3 ans, un nouvel audit est réalisé pour suivre les évolutions du SMSI sur la durée. »

Après des mois de travail, nous avons obtenu les deux certifications que nous visions. Le travail accompli nous permet d'améliorer notre organisation de jour en jour, de pouvoir proposer de nouveaux produits comme notre Cloud Privé Sécurisé et optimiser notre service client :

Après des mois de travail, nous avons obtenu les deux certifications que nous visions. Le travail accompli nous permet d'améliorer notre organisation de jour en jour, de pouvoir proposer de nouveaux produits comme notre Cloud Privé Sécurisé et optimiser notre service client :

  • un meilleur suivi des demandes
  • une meilleure traçabilité des incidents
  • l'intégration d'un cycle d'amélioration continue dans les processus métier et support

Quels conseils donnerais-tu à des organisations qui envisagent de se certifier prochainement ?

« Si vous démarrez un projet de certification, voici quelques points à garder à l'esprit : 

« Si vous démarrez un projet de certification, voici quelques points à garder à l'esprit : 

  • Ne négligez pas le risque Cyber : évaluez bien la résilience de votre organisation à une cyberattaque. Elles sont de plus en plus fréquentes.
  • Appliquez EBIOS RM : c'est une méthode de gestion de risques recommandée par l'ANSSI, qui met bien en lumière les risques auxquels votre organisation est exposée au travers d'ateliers auxquels tout le monde participe.
  • Gardez des traces de toutes vos actions : cela permet de montrer à l'auditeur que vos réponses à ses questions ne sont pas improvisées sur le moment, et que vous maîtrisez bien votre sujet.
  • Tout le monde est concerné par la sécurité de l'information : n'oubliez personne pendant l'état des lieux et dans le pilotage du projet. Plus les gens se sentent impliqués, plus ils sont coopératifs et accompagnent le changement ».

Contactez-nous

Contactez-nous

Vous avez une question ? Un doute ? Une demande particulière ? N'hésitez pas à nous contacter en cliquant sur le bouton ci-dessus, nous vous répondrons dans les meilleurs délais.

Vous avez une question ? Un doute ? Une demande particulière ? N'hésitez pas à nous contacter en cliquant sur le bouton ci-dessus, nous vous répondrons dans les meilleurs délais.

Vous aimez cet article ? Vous pourriez aimer

06
Oct

Aqua Ray obtient les certifications ISO27001 et HDS (Hébergement de Données de Santé)

Actualités

En juillet 2022, Aqua Ray a été jugé conforme aux exigences des normes de sécurité ISO27001 et HDS. Ces normes fournissent une liste d'exigences en matière de sécurité de l'information. Découvrez- en plus sur ces certifications dans cet article de blog.

Lire la suite
13
Sept

Le rôle d’un développeur Web

Actualités

C’est la journée mondiale des développeurs. Chez Aqua Ray le développeur Web a un rôle central au sein de l'équipe de développement. Découvrez ce métier plus en détail dans cet article.

Lire la suite
06
Oct

Aqua Ray obtient les certifications ISO27001 et HDS (Hébergement de Données de Santé)

Actualités

En juillet 2022, Aqua Ray a été jugé conforme aux exigences des normes de sécurité ISO27001 et HDS. Ces normes fournissent une liste d'exigences en matière de sécurité de l'information. Découvrez- en plus sur ces certifications dans cet article de blog.

Lire la suite
13
Sept

Le rôle d’un développeur Web

Actualités

C’est la journée mondiale des développeurs. Chez Aqua Ray le développeur Web a un rôle central au sein de l'équipe de développement. Découvrez ce métier plus en détail dans cet article.

Lire la suite
06
Oct

Aqua Ray obtient les certifications ISO27001 et HDS (Hébergement de Données de Santé)

Actualités

En juillet 2022, Aqua Ray a été jugé conforme aux exigences des normes de sécurité ISO27001 et HDS. Ces normes fournissent une liste d'exigences en matière de sécurité de l'information. Découvrez- en plus sur ces certifications dans cet article de blog.

Lire la suite
13
Sept

Le rôle d’un développeur Web

Actualités

C’est la journée mondiale des développeurs. Chez Aqua Ray le développeur Web a un rôle central au sein de l'équipe de développement. Découvrez ce métier plus en détail dans cet article.

Lire la suite
Besoin d'aide ? Appelez-nous maintenant !
Appelez-nous maintenant ! 01 84 04 04 05
Appelez-nous maintenant ! 01 84 04 04 05
DC Tier IV
AFNOR Certification ISO27001
AFNOR Certification HDS