Cybersécurité : comment initier ou renforcer sa démarche
Analyser son environnement, mesurer ses risques, prendre des mesures adaptées et améliorer son dispositif : alors que les enjeux liés à la cybersécurité prennent une place prépondérante dans la stratégie des entreprises, Bureau Veritas accompagne PME et grands groupes, tous secteurs d’activités confondus. Au cœur de la démarche : la certification ISO 27001.
C’est l’une des grandes idées reçues en matière de cybersécurité : non, le danger ne vient pas systématiquement d’un génie informatique mal intentionné. Parfois, un simple café renversé suffit à générer un risque très important. « Les entreprises se digitalisent, mais ne prennent pas toutes conscience de l’importance de protéger leurs données numériques, explique Tony Grémion, expert cybersécurité chez Bureau Veritas. Il m’arrive de voir des serveurs hébergeant toutes les bases de données de la structure posés à même le sol, sous un bureau, sans aucune protection. Si le serveur grille ou reçoit un choc, toute la production de l’entreprise peut être interrompue… ».
En matière de cybersécurité, la démarche commence donc par une analyse des risques : identifier ses enjeux, ses vulnérabilités et les leviers pour les corriger. Quitte à balayer large ! « Le système de détection incendie fait partie de la cybersécurité, rappelle Tony Grémion, en lien avec le risque d’un feu qui détruit tout le patrimoine informatique de la structure. » L’autre action majeure concerne la sensibilisation, avec une approche ciblée en fonction du poste de chacun. « Si la cybersécurité est l’affaire de tous, il faut démontrer de quelle manière chacun est concerné. Par exemple, rappeler à un commercial souvent en déplacement les bonnes pratiques de confidentialité et d’usage des WIFI publics, sensibiliser chaque salarié aux règles en matière d’ouverture de pièces jointes douteuses, signifier aux développeurs l’importance d’intégrer certains fondamentaux dans leurs programmes… ». Car l’informatique tient évidemment une place prépondérante. En plus des traditionnels antivirus, les dispositifs de protection en profondeur tels que l’IDS (Intrusion Détection Système) font partie des piliers pour assurer son intégrité.
À lire aussi :
Un sujet devenu incontournable dans le médico-social
Face à tous ces enjeux, la norme volontaire ISO 27001 apporte de nombreuses réponses. Pour Xelya, ce référentiel s’est même imposé comme une évidence. Cette société spécialisée dans la fourniture de solutions informatiques à ses clients TPE et PME travaille tout particulièrement auprès du domaine médico-social, comme les structures d’aides et de soins à domicile. « Or, le contexte législatif a récemment évolué et désormais, les mêmes règles que celles du secteur de la santé s’appliquent à ces sociétés, explique Henry Bouchet, associé de Xelya en charge des produits et des innovations. Comme elles sont sensibles, les données de santé doivent donc bénéficier d’un cadre de protection rigoureux. C’est ce que propose l’ISO 27001 avec la mise en place d’un système de management des SI.»
Xelya s’est donc tourné vers Bureau Veritas pour l’auditer et assurer le suivi de cette ambitieuse démarche, menée sur plus de deux ans. Comme l’entreprise dispose de son propre logiciel et propose à ses clients d’héberger leurs données, elle se trouve directement concernée par la question... « La première étape a été de réaliser une cartographie de nos risques, poursuit Maxime Legas, Responsable SSI de Xelya. Puis, d’identifier l’ensemble des actions qu’il était possible de mener pour respecter le référentiel en intégrant à chaque fois nos équipes pour mesurer tous les impacts des changements envisagés. Ce travail nous a permis de prendre conscience que nous menions déjà beaucoup d’actions très vertueuses, sans forcément les relier entre elles. De quoi structurer nos pratiques. »
Quatre certifications complémentaires
Au final, Xelya se trouve mieux armé face à la menace. L’entreprise a élaboré un système complet de suivi des incidents, avec un dispositif d’analyse des problèmes rencontrés pour trouver des solutions qui permettront de les traiter à la source. « Le pré-audit mené par Bureau Veritas nous a considérablement aidés à mieux cerner les attentes et à réajuster le tir, estime Diane Bouchet, associée en charge du suivi des affaires juridiques de Xelya. Surtout, nous ne souhaitions pas nous limiter à la norme ISO 27001 mais compléter notre engagement vertueux par 3 certifications supplémentaires : ISO 20000 (systèmes de management de services), ISO 27018 (protection des données cloud) et HDS (qualité de service des hébergeurs de données de santé). Or, ces quatre référentiels se recoupent parfois. Les deux auditeurs de Bureau Veritas ont élaboré un plan d’audit intelligent pour aborder d’abord les points communs, puis les spécificités de chacun ».
Cette quadruple certification – qui va au-delà des exigences légales – donne aujourd’hui à Xelya un véritable avantage concurrentiel sur son marché. Dans de nombreux secteurs d’activité, si l'ISO 27001 reste d’application volontaire, cette certification fait néanmoins partie des exigences mentionnées dans certains appels d’offres par les clients soucieux de cybersécurité.
« La certification ISO 27001 agit comme un instrument de navigation au milieu de l’océan, conclut Tony Grémion, expert cybersécurité chez Bureau Veritas. La méthode rigoureuse permet de pointer les priorités et les actions à mener. Elle fixe un cap pour se repérer, avancer et arriver à bon port sans contourner les difficultés, mais en s’armant pour les affronter. »
