Cet été, Arondor a obtenu la certification ISO 27001:2013 pour son Centre de Services.
Cette norme marque une étape importante dans notre maturité et permet de garantir à nos clients et nos partenaires un niveau de sécurité et une confiance maximale pour leurs applications, notamment dans notre SaaS.
Qu’est-ce que la norme ISO 27001 ?
La norme internationale ISO 27001 spécifie les exigences relatives à l'établissement, à la mise en œuvre, à la mise à jour et à l'amélioration continue d'un système de management de la sécurité de l'information dans le contexte d'une organisation. Elle a pour objectif de protéger la confidentialité, l’intégrité et la disponibilité des informations dans une entreprise.
Être certifié ISO 27001 n’est pas obligatoire mais c’est la preuve de la mise en place réussie d’un Système de Management des Systèmes d’Information (SMSI). Toutes les entreprises peuvent être concernées par la certification ISO 27001 dès lors qu’elles détiennent des données physiques ou dématérialisées.
Pourquoi déployer la norme ISO 27001 au Centre de Services Arondor ?
Ces dernières années, les cybermenaces se sont multipliées, en raison de l’accélération de la digitalisation. Des fuites importantes de données personnelles ont eu lieu. C’est pourquoi, en tant qu’acteur de la Gestion Electronique de Documents, Arondor a souhaité mettre en place un système de management de la sécurité de l’information.
La norme ISO 27001 représente un véritable différenciateur pour les offres TMA, MCO et SaaS et répond à plusieurs enjeux pour Arondor :
- Assurer la sécurité et la continuité des infrastructures IT de l’organisme,
- Améliorer la gouvernance de la sécurité de l’information,
- Renforcer la confiance des parties intéressées internes et externes,
- Rentabiliser les investissements IT et la sécurité.
Véritable référence professionnelle éprouvée et reconnue par un organisme indépendant, la norme ISO 27001 exige des entreprises une maîtrise complète de son périmètre, aussi bien documentaire que procédurale, souvent complexe et difficile à mettre en œuvre. Plusieurs domaines sont évalués : la Direction, le processus opérationnel, les Ressources Humaines, les Achats et Moyens Généraux, la DSI et la conformité légale, notamment la RGPD.
En avril 2021, Arondor a entamé une démarche afin d’obtenir la certification ISO 27001 pour son Centre de Services, avec comme périmètre : les prestations de support applicatif (le Support IT), la maintenance logicielle (MLO), la Tierce Maintenance Applicative (TMA), la Qualité logicielle, le Maintien en condition opérationnelle (MCO) et les Services Cloud pour les sites de Tunis et Orléans.
Les équipes ont fait appel à un cabinet de conseil expert afin d’être accompagnées dans toutes les démarches et étapes de la certification (création du socle documentaire, formalisation et création des procédures, etc.).
Améliorer la gouvernance de l’entreprise en identifiant les risques et en adoptant les bonnes pratiques de sécurité
Afin de se conformer aux exigences de la norme ISO 27001 relatives à la sécurité de l’information, Arondor a élaboré un plan macro pour établir son SMSI et les bonnes pratiques de sécurité. Pour cela, plusieurs documents et procédures ont été créés :
- Analyse des risques dans le contexte d’Arondor
- Plan de traitement des risques et de gestion des incidents
- Procédures opérationnelles
- Politiques de gestion de la sécurité de l’information : PSSI, politique de contrôle d’accès, politique de gestion des fournisseurs, politique de gestion de la continuité de l’activité…
- Mesures de sécurité
- Indicateurs de mesures pour surveiller l’application et l’efficacité du système
Le Centre de Services d’Arondor, étant par nature en relation avec toutes les Business Units et services, de nombreuses mesures ont été généralisées à l’ensemble de l’organisation. Toutes les fonctions transverses sont intégrées dans le périmètre de la certification en tant que processus de support.
Un engagement dans la gestion de sécurité des informations
C’est donc au cours de l’été 2022 que le Centre de Services Arondor a reçu la certification ISO 27001. Cette attestation prouve que notre Centre de Services est conforme aux exigences relatives aux Systèmes de Management de la Sécurité de l’Information décrites dans le référentiel ISO 27001.
Pour Arondor, cela démontre notre volonté de mieux accompagner nos clients dans leurs projets de transformation digitale, tout en assurant que notre système de management de la sécurité de l’information est conforme aux réglementations internationales.
La certification ISO 27001 est une reconnaissance de conformité et permet d’attester que :
- L’entreprise s’engage vers ses différentes parties prenantes (clients, employés, partenaires ou fournisseurs) à créer une relation de confiance.
- La Direction considère la sécurité de l’information comme une thématique importante.
De plus, cela permet de renforcer la confiance des clients puisque cela signifie que la sécurité des données de nos clients, les informations financières et la propriété intellectuelle sont protégées contre la perte, le vol et les dommages, grâce à un cadre systématique. Plus généralement, il s’agit d’un gage de confiance pour nos partenaires et fournisseurs, et constitue un véritable avantage concurrentiel. La certification ISO 27001 contribue également à la notoriété d’Arondor et facilite les échanges internationaux avec une certification reconnue par-delà les frontières.
Enfin, la sécurité étant l’affaire de tous, nos collaborateurs en sont les acteurs clés. Ils sont tenus d’appliquer les mesures données et d’être vigilants. Des audits ultérieurs (un tous les ans) permettront au Centre de Services de maintenir cette certification, renouvelable tous les 3 ans. Dans une volonté de se développer, Arondor élargira le périmètre à l’ensemble de l’organisation. Elle souhaite aussi entreprendre dans une démarche de certification ISO 27701 comme la certification ISO 27001 est aussi un socle solide pour la conformité RGPD.