Qu’est-ce que la certification ISO 27001 ?

LS - La certification ISO 27001 est une norme internationale de standardisation en matière de sécurité de l'information qui a vu le jour au début des années 2000. Elle fait partie de la famille 27000, qui est de plus en plus plébiscitée pour garantir la sécurité de l'information.

La certification atteste du fait qu'un organisme prend en compte les enjeux de sécurité de l'information dans ses processus pour faire face aux risques de sécurité. Elle implique la mise en place d'un système de management de la sécurité de l'information certifié (SMSI). Celui-ci repose sur des mesures organisationnelles et techniques, ainsi que la capacité à détecter, réagir et répondre aux incidents et à la reprise d'activité.

La certification est délivrée par AFNOR et constitue une preuve que la sécurité est prise en compte à tous les niveaux, que ce soit au niveau interne, mais aussi chez les fournisseurs, les prestataires, et dans toute la chaîne d'approvisionnement.

En quoi la certification ISO 27001 d’IMS peut-elle aider les organisations à faire face aux enjeux de la cybersécurité ?

LS - La certification ISO 27001 apporte une aide considérable aux organisations qui cherchent à faire face aux défis croissants en matière de cybersécurité. En effet, cette certification garantit que l'entreprise a mis en place une structure solide de gouvernance de la sécurité des informations pour faire face aux nouvelles menaces émergentes.

Les bases de cette gouvernance comprennent des mécanismes de supervision et de journalisation pour détecter les événements de sécurité, des procédures et protocoles pour réagir aux incidents de sécurité et assurer la continuité des activités, ainsi qu'un processus de communication clair et transparent avec les parties intéressées.

Peux-tu nous rappeler le contexte et les cycles de certification ISO 27001 chez IMS Networks ?

LS - Depuis 2015, nous sommes certifiés pour les activités historiques d'opérateur de réseau et nous avons progressivement élargi le champ d'application de notre certification ISO 27001 pour inclure nos activités d'hébergement, ainsi que les services SOC intégrés dans notre centre d'opération NSOC réseau et sécurité.

Les deux audits de suivi menés en 2022 ont reçu une évaluation favorable de l'AFNOR. Le prochain audit de renouvellement aura lieu au printemps 2024, marquant ainsi notre entrée dans notre quatrième cycle de certification pour une durée de trois ans.

Quelles étaient les objectifs et la méthodologie de l’enquête réalisée auprès des parties prenantes ?

LS - Chez IMS Networks, des enquêtes de satisfaction sont régulièrement menées pour évaluer la satisfaction des clients, partenaires et collaborateurs en matière de certification ISO 27001.

En octobre 2022, une nouvelle enquête a été lancée pour se concentrer sur les attentes de nos parties prenantes à l'égard de la certification. L’objectif, in fine, étant d'actualiser le plan d'action en réponse aux besoins des clients, partenaires et collaborateurs.

La méthodologie de l'enquête comprenait un formulaire web anonyme, composé de quatre questions simples portant sur la perception et la satisfaction à l'égard de la certification ISO 27001 ainsi qu'une dernière question ouverte visant à identifier des axes d'amélioration pour le système de management de la sécurité des informations (SMSI). Les destinataires de l'enquête incluaient un échantillon de clients stratégiques, les collaborateurs du groupe IMS Networks, et les partenaires technologiques clés avec lesquels l'entreprise monte des offres de services. L’enquête a permis de collecter 70 réponses en 15 jours.

Quelles sont les attentes des parties prenantes par rapport à la certification ISO 27001 des services d'IMS Networks ?

LS - Selon les résultats de l'enquête, 81% des parties prenantes s'attendent à une garantie élevée du niveau de sécurité des systèmes d'information (SI). Cela signifie qu’il y a une bonne compréhension de la raison d'être de la certification ISO 27001.

61% attendent un service de qualité et 55% considèrent que la certification doit répondre aux enjeux de conformité ou règlementaires pour IMS Networks. Sur cet aspect, la norme impose une veille réglementaire portant sur les aspects internes liés aux activités d’IMS Networks en tant qu'opérateur de réseau et de services managés de sécurité.

25% des répondants attendent que la certification offre un cadre de gouvernance prévisible pour IMS Networks.

 

La certification ISO 27001 renforce-t-elle la confiance des parties prenantes dans les services fournis par IMS Networks ?

LS - Selon 94% des répondants, la certification ISO 27001 renforce la confiance des parties prenantes dans la qualité des services managés du réseau et de la sécurité fournis par les équipes IMS Networks. Cela signifie que les enjeux et les sujets couverts par la norme sont connus des personnes ayant participé à l’enquête.

RSSI certification ISO27001 IMS Networks

Cependant, la confiance ne doit pas exclure le contrôle. Des audits réguliers sont nécessaires pour s'assurer que les exigences de la norme continuent d'être respectées. Dans le cadre du processus de certification, ces audits sont effectués par l'organisme AFNOR. Ce qui représente un gain de temps et de moyens pour les clients et partenaires qui ne sont pas tenus de les réaliser.

 

Comment est évalué le niveau de maturité d'IMS Networks en matière de sécurité de l'information ?

LS - Sur 70 réponses reçues, la note moyenne est de 7.9 sur 10, indiquant un niveau de maturité en matière de sécurité de l'information relativement élevé. De plus, les écarts de réponses sont faibles, allant de 6 à 9, ce qui peut être considéré comme satisfaisant à très satisfaisant.

L'évaluation du niveau de maturité en matière de sécurité de l'information se fait à travers un processus rigoureux d'audit. Après avoir achevé deux cycles de certification et en cours de réalisation du troisième cycle, notre performance en la matière a été jugée en progression par l'auditeur AFNOR. Bien que certaines améliorations aient été recommandées pour renforcer encore notre niveau de maturité, l'auditeur a souligné plusieurs points forts, notamment en matière de gouvernance, de technique et de technologie, contribuant à une amélioration constante de la sécurité de l'information.

 

Quelles suggestions ont été formulées pour améliorer la posture d'IMS Networks sur le sujet de la sécurité de l'information et plus particulièrement dans le cadre de la certification ISO 27001 ?

LS - En vue d'améliorer la posture en matière de sécurité de l'information et plus particulièrement en ce qui concerne la certification ISO 27001, notre dernière question a permis de recueillir 25 suggestions. Les propositions les plus importantes concernent la nécessité d'une meilleure communication interne sur les sujets de sécurité, de certification, de gouvernance, et de procédures techniques. Il est également important de communiquer sur les plans d'action internes.

Outre les aspects de communication, des attentes ont été exprimées en interne concernant la formation et la sensibilisation. Les thématiques abordées portent principalement sur la gouvernance et l'organisation, y compris les responsabilités, la remontée d'informations et la mise en place de campagnes de tests.

Pour les clients et partenaires, une communication plus régulière sur l'état d'avancement du cycle de certification ainsi que sur les résultats de l'audit ISO 27001 serait appréciée.

 

Quelles sont les mesures qui vont être prises à l’avenir pour améliorer le SMSI ?

LS - Afin de parvenir à une amélioration significative du Système de Management de la Sécurité de l'Information (SMSI), des mesures concrètes seront mises en œuvre dans un avenir proche. Celles-ci incluent notamment :

  • Un investissement conséquent dans la communication interne, visant à renforcer les fondements de connaissances et de compétences au sein des équipes, afin d'assurer une collaboration transversale et efficiente entre les différents métiers de l'entreprise.
  • L'introduction de fonctionnalités plus robustes et innovantes pour augmenter notre niveau de sécurité et renforcer notre résilience.
  • La poursuite des audits internes sur la gouvernance du SMSI, ainsi que des audits techniques tels que les audits de configuration, de code et les tests d’intrusion (pentests) dès le printemps 2023, en vue de garantir le respect des normes de sécurité attendues lors du déploiement de nouvelles technologies.

 

En savoir plus sur la détection et la réponse à incident

Vous avez une question, un projet ou tout simplement envie de venir échanger autour d’un café ?

Contactez-nous