Cet article s’adresse aux RSSI qui envisagent de se faire certifier et aux acteurs clés de l’entreprise qui pourraient faciliter le processus ou l’utiliser pour développer leurs activités. Nous parlerons du défi culturel, des avantages commerciaux et même de la nécessité d’avoir des compétences en gestion de projet.
Merci à Sven Van den Broeck, CISO chez Sofico, d’avoir partagé son expérience et sa collaboration fructueuse avec notre équipe. Félicitations pour avoir obtenu la certification dans les délais impartis !
Quelles sont les principales raisons qui vous ont poussé à obtenir la certification ISO 27001 ?
Bien entendu, l’une des raisons les plus courantes pour lesquelles les entreprises entament ce parcours est la nécessité d’une gouvernance de la sécurité pour faire face aux menaces croissantes. Sven a souhaité mettre en avant trois autres raisons qui dépassent le cadre de la sécurité.
- La croissance de notre entreprise: Avec plusieurs bureaux, nous avions besoin de plus de structure et de règles pour aller de l’avant.
- Les exigences de nos clients: Dans un premier temps, le fait de ne pas pouvoir répondre positivement à leur question « êtes-vous certifié ISO 27001 » n’a pas été un facteur de rupture. Mais cela a entraîné une charge de travail interne supplémentaire pour rassurer le client en répondant à toutes ses questions supplémentaires. Mais finalement, nous avons ressenti l’urgence et la nécessité de fournir un certificat afin de commencer de nouveaux contrats ou de continuer à travailler sur des contrats existants. Pour les prestataires de services, comme nous, c’est devenu une condition sine qua non pour continuer à travailler avec certains clients.
- Être proactif face aux réglementations nationales ou internationales à venir, nouvelles ou mises à jour : soit les normes existantes deviennent plus exigeantes, soit de nouvelles normes apparaissent. Ce contexte difficile et la pression réglementaire nous ont amenés à prendre la décision de mettre en œuvre la norme ISO 27001 pour préparer l’avenir.
Quelle était la portée du projet ?
Sofico est une société de développement de logiciels avec 8 bureaux répartis sur plusieurs continents. Nous employons actuellement quelque 350 personnes.
Les domaines les plus importants sont les processus de développement et les défis liés aux bureaux multiples, tels que la protection physique et les changements organisationnels.
Après des réunions avec Approach et en interne, il est apparu évident d’étendre le champ d’application à l’ensemble de l’organisation.
Ce champ d’application englobe les personnes, les processus et les technologies pour une approche globale.
Quel a été l’investissement nécessaire en termes de ressources et de temps pour mener à bien le projet ?
Nous devions obtenir notre certification avant le1er janvier 2021 et nous avions 18 mois devant nous pour y parvenir. « C’est une bonne chose d’avoir une échéance claire. Si vous n’en avez pas, il est plus facile de reporter. La première chose à faire était donc d’établir un rétro-planning et une feuille de route, afin de s’assurer d’être certifié avant la date limite.
Le projet s’est déroulé en deux phases :
- La première phase a servi à préparer l’entreprise à l’étape suivante : Mise en place de l’équipe et recherche des bons candidats en interne, information de l’ensemble de l’organisation, définition de la portée du projet et des rôles et responsabilités (matrice RACI).
- La mise en œuvre proprement dite a duré 9 mois, car elle a dû être réalisée en parallèle pour l’ensemble de nos 8 bureaux à travers le monde.
Le projet aurait pu être achevé plus rapidement, mais nous avons pris plus de temps dans la phase de préparation (détails ci-dessous).
Pour assurer une progression harmonieuse, nous avons créé une organisation ISO interne et nommé un responsable local de la sécurité de l’information (LISO) pour chaque bureau.
En tant que RSSI, j’ai dirigé la nouvelle équipe et assuré la fonction de chef de projet responsable.
Pourquoi faire appel à un partenaire externe pour soutenir votre processus de certification ?
« Ne pas faire appel à un partenaire externe, sans avoir une certaine connaissance vous-même ou au sein de votre organisation, est une erreur.
Même si vous avez suivi des formations ISO 27001 et des formations d’auditeur interne, elles ne servent qu’à vous donner un aperçu de ce qu’est la norme. Elles ne vous fournissent pas d’informations pratiques sur le fonctionnement d’un SMSI.
« Obtenir un retour d’information de la part d’un expert externe et le voir remettre en question notre approche, c’est exactement ce dont nous avions besoin. Cela nous a aidés à passer de la théorie à la réalité« .
L’utilisation d’un partenaire externe pour vous conseiller et vous guider tout au long de votre parcours a accéléré notre processus.
Quelles sont vos recommandations aux organisations et aux RSSI intéressés par une certification ISO 27001 ?
Pendant la phase de mise en œuvre, les compétences et les ressources en matière de gestion de projet sont essentielles.
« La mise en œuvre du SGSI est davantage une question de gestion de projet que de compétences techniques. En tant que chef de projet, j’ai passé presque tout mon temps à m’assurer que tous les projets se déroulaient dans les délais prévus. Il est essentiel de ne pas sous-estimer le temps nécessaire à la gestion d’un projet. Ainsi, ma première recommandation – si vous êtes un RSSI très occupé – devrait être de désigner un chef de projet dédié et expérimenté ou d’externaliser le poste si nécessaire. »
Deuxièmement, lorsque vous planifiez le budget du projet, ne considérez pas seulement les coûts d’un partenaire externe pour vous guider (vous gagnerez du temps et de l’argent grâce à son expertise, c’est un investissement précieux), des ressources internes et de l’audit. Mais prévoyez également un budget pour l’achat des outils nécessaires à la gestion d’un SMSI!
Troisièmement, il est important de s’assurer que les ressources sont disponibles, qu’elles ont les bonnes compétences et qu’elles adhèrent au projet. Leur coopération, leur disponibilité et leurs compétences sont essentielles pour que le processus se déroule le mieux possible.
Enfin, ne sous-estimez pas l’importance de la culture d’entreprise. Nous aurions pu réduire le temps nécessaire à la réalisation du projet, mais cela aurait pu avoir un impact négatif sur notre culture. Nous voulions nous assurer que nous conservions notre « culture Sofico ». Ce fut un défi de voir comment mettre en œuvre la certification sans compromettre notre façon de travailler. Il était essentiel de s’assurer que tous les membres de l’entreprise comprenaient l’objectif de la certification et qu’ils pouvaient faire part de leurs préoccupations. En outre, le retour d’information nous a permis de prendre du recul et de revoir certaines de nos décisions avant d’aller de l’avant. Pour obtenir l’adhésion de tous, vous devez d’abord faire connaître l’objectif du projet. Permettez aux gens de poser des questions et de contester les décisions. Le résultat ne peut être amélioré que si votre organisation se sent impliquée.
Pourquoi avez-vous choisi Approach ?
Bien que nous ayons d’abord envisagé des entreprises internationales de renom, nous avons constaté que la touche personnelle manquait. Et c’est finalement l’aspect le plus important dans la collaboration quotidienne.
« Notre préférence était de travailler avec une entreprise à taille humaine et de construire un partenariat solide« . Avec Approach, nous avons pu bénéficier d’une expertise solide pour nous guider tout au long du chemin sans être un simple numéro.
Quelle a été la valeur ajoutée d’Approach dans le projet ?
L’une de leurs valeurs ajoutées est leur capacité à passer de la théorie à la pratique. Traduire les règles en un véritable plan d’action nécessite une solide expertise sur le terrain et l’expert qui nous a été assigné par Approach l’a très bien fait !
Deuxièmement, ils nous ont mis au défi et se sont assurés que nous étions suffisamment minutieux dans notre mise en œuvre. C’est vraiment essentiel si vous voulez mener à bien votre projet dans les délais impartis, mais aussi pour être bien préparé à l’audit externe.
Enfin, leur disponibilité et leur flexibilité nous ont permis d’avancer sans être arrêtés par un problème. Tout au long du projet, des questions et des obstacles apparaissent constamment et il est essentiel de pouvoir bénéficier rapidement de bons conseils et de recommandations.
« Même si nous avons obtenu notre certificat, je suis sûr que notre partenariat avec Approach n’est pas terminé.
Prêt à vous lancer dans l’aventure ISO 27001 ? Contactez nous
