Se former pour s’approprier la norme ISO 27001-2022
Pour les entreprises, tous secteurs confondus, structurer la stratégie Cybersécurité n’est plus une option. La protection de l’information impacte directement la pérennité de la société. Alors comment s’armer ? La certification ISO 27001-2022 fait partie des références en la matière mais peut sembler complexe voire inadaptée aux besoins. C’est pourtant tout le contraire ! Comme le prouve l’expérience OnePilot / Bureau Veritas.
L’impression de ne pas savoir par où commencer. Un sentiment partagé par de nombreuses entreprises, au moment de s'engager une démarche de certification ISO 27001-2022 – Sécurité de l'information, cybersécurité et protection de la vie privée. Comment gravir cette montagne ? La start-up OnePilot, qui propose un service B2B d’externalisation du support client via une plateforme dédiée, a relevé le défi en obtenant le précieux sésame en avril dernier. « Il s’agissait d’un enjeu stratégique, souligne Manon Coquard, data security officer, pour répondre aux appels d’offres et accroître notre impact à l’international alors que les donneurs d’ordres demandent de plus en plus la certification ISO 27001. Le développement de l’entreprise en dépend ! »
data security officer
Sans regard extérieur et expert, il est difficile de cerner quelles exigences du référentiel s’appliquent concrètement à notre environnement. Il existe un vrai risque de se disperser et d’engager des actions inutiles.
OnePilot se lance donc dans l’aventure en mars 2023 et réalise en premier lieu l’indispensable analyse des risques. Un travail de 3 mois environ pour cerner les exigences, identifier les acteurs concernés (salariés, freelances mais aussi les infrastructures), mesurer les impacts et définir une probabilité d’occurrence pour prioriser les actions. « Dans un premier temps, faute de recul sur le sujet, nous n’avions pas envisagé de suivre de formation… Et il faut reconnaître que cela a rendu les opérations bien plus complexes, commente Manon Coquard. Sans regard extérieur et expert, il est difficile de cerner quelles exigences du référentiel s’appliquent concrètement à notre environnement. Il existe un vrai risque de se disperser et d’engager des actions inutiles. ».
Une matrice pour identifier des actions
« La norme ISO 27001-2022 est un référentiel adaptable, qui donne une structure globale et qui se personnalise en fonction de chaque entreprise, confirme Tony Grémion, expert cybersécurité chez Bureau Veritas. Tout l’enjeu est de trouver dans la norme ce qui est pertinent pour sa société, son analyse de risques et son contexte. Les formations proposées par Bureau Veritas répondent à ce challenge. D’ailleurs, lors de formations intra-entreprises nous personnalisons nos modules de formation pour correspondre exactement aux besoins ».
Après la phase d’analyse des risques, vient la mise en œuvre de leur traitement. OnePilot déploie dès lors des mesures de sécurité adaptées. Par exemple, lorsqu’un collaborateur démarre un shift (c’est-à-dire une session de support SAV au service d’un client), un outil interne spécialement développé sécurise les connexions entre les différents outils : back-office, support logistique, tchat… « L’activité est ainsi mieux monitorée : toutes les actions effectuées sont précisément rattachées à un agent… De quoi mieux garantir la protection des données », détaille Manon Coquard.
Autre illustration : la formation systématique des nouveaux collaborateurs, dès la semaine d’on-boarding, pour les sensibiliser au sujet, leur montrer les outils et aussi les embarquer dans la démarche « la norme ISO 27001-2022 s’inscrit dans une logique d’amélioration continue. Le premier audit de certification s’est révélé positif mais pointe de nombreux axes de travail sur lesquels nous nous penchons sans attendre ».
À Lire aussi :
Des formations concrètes et sans cesse ajustées
Dans cet objectif, OnePilot compte sur les formations proposées par Bureau Veritas : architectures sécurisées, sécurité industrielle, sécurité défensive et offensive, sécurité organisationnelle et système de management. Les experts proposent un catalogue complet pour répondre à tous les besoins et rester à jour ! « Cybersecurity Act, IA Act, Resilience Act, NIS 2… Le contexte de la cybersécurité est particulièrement mouvant, rappelle Tony Grémion. Nos formations ne sont pas gravées dans le marbre, mais s’adaptent sans cesse aux évolutions, avec des modifications de nos modules en moyenne tous les 6 mois. »
Les sessions reposent sur des mises en situation et exemples. Quitte à susciter la peur pour convaincre ! « Récemment, un client ne jugeait de sa sécurité que par son antivirus, raconte Tony Grémion. Il ne voyait clairement pas l’utilité de mettre en place une défense en profondeur et ne se sentait pas concerné par le danger. Nous lui avons alors montré en quelques minutes qu’il était possible de se procurer gratuitement un logiciel capable de générer des malwares non détectables par son antivirus. De quoi le convaincre sur le champ ! »
Indispensable guide
« Nos formations ne consistent pas à lire la norme mais à adapter le parcours au besoin réel et aux attentes pour se mettre en conformité en se positionnant au juste niveau : tous les prérequis du référentiel ne concernent pas toutes les entreprises. Nous fournissons une boîte à outils, des clefs de lecture et des astuces : un véritable permis de conduire pour se repérer dans la norme et piloter sa politique de cybersécurité. »
