Comment obtenir la certification de sécurité ISO 27001 ?

Obtenir une certification est toujours un parcours du combattant, notamment pour une jeune entreprise. Souvent perçu comme long et coûteux, le processus est aussi flou : par où commencer ? Doit-on se faire accompagner ? Une démarche compliquée, alors qu’aujourd’hui la sécurité est un enjeu crucial pour les entreprises, quelle que soit leur taille ou leur ancienneté. 

Chez PayFit, nous avons entrepris les démarches d’obtention de la certification ISO 27001 en 2018*. Nous l’avons eu deux ans plus tard, en septembre 2020. Il nous a fallu du temps pour comprendre comment entamer un sujet aussi complexe. A l’époque, il n’existait pas de retours d’expériences d'entreprises similaires à la nôtre ou de bonnes pratiques dont nous aurions pu nous inspirer. Nous partageons donc aujourd’hui notre expérience et nos conseils aux personnes qui souhaiteraient se lancer dans cette aventure. Guillaume Gohin, Responsable Sécurité des Systèmes d'Information, a mené le processus d'obtention de la norme ISO 27001 chez PayFit et témoigne aujourd'hui.

Pourquoi PayFit a décidé d’obtenir la norme ISO 27001 ?

Chez PayFit, la sécurité est un de nos grands enjeux de développement. Elle fait partie intégrante de notre produit. Par la nature-même de notre activité, à savoir le traitement de fiche de paie, nous manipulons des données sensibles, personnelles et confidentielles. Nous devons garantir et délivrer un produit sûr.

En forte croissance, PayFit poursuit son développement en Europe. Aujourd’hui, nous sommes présents dans 5 pays et travaillons sous des législations différentes. Nous servons aussi davantage de clients, de taille de plus en plus importante. Nous avions donc besoin d'un cadre dans lequel organiser l'ensemble de nos opérations avec un niveau commun de sécurité.

Comment le processus a-t-il démarré ?

Nous avons commencé à faire nos recherches sur l'obtention d'une certification fin 2018. Être dans le déclaratif n’était plus suffisant. Nous souhaitions aller plus loin que de simples affirmations et attester de la fiabilité de nos dispositifs de sécurité avec une norme.

La norme ISO 27001 est internationalement reconnue et porte sur plus de 150 points de contrôle. Elle certifie l'ensemble des produits et des services d’une entreprise, sans exception. Elle n'englobe pas seulement la sécurité d’une application ou d’un produit, mais celle d’une organisation entière. De ce point de vue, elle est particulièrement intéressante.

Nous avons fait un “benchmark” d’entreprises qui auraient eu cette démarche et pourraient nous conseiller. Malheureusement, la littérature sur le sujet est assez modeste. Nous avons donc rapidement compris la nécessité d’être accompagné par un tiers. Début 2019, BSI Group, un organisme de certification, a commencé à nous accompagner dans ce processus.

Quelles ont été les grandes étapes de ce processus ?

Nous avons procédé en 5 grandes étapes :  

• se former en interne ;

• créer et renseigner la documentation fondamentale ;

• s’entraîner avec un audit blanc ;

• réussir l’audit documentaire niveau 1, appelé “stage 1” ; 

• passer l’audit de niveau 2, appelé “stage 2”.

Etape 1 - Se former en interne (5 jours)

Pour commencer, se former en interne a été notre priorité. Il est recommandé qu’au moins une personne de l’entreprise suive une formation pour être habilitée à mener un audit. Chez PayFit, nous sommes deux à avoir suivi cette formation durant 5 jours, auprès de BSI Group. Anne-Flore de Belenet, Directrice juridique, et moi avons obtenu la plus haute certification en matière de sécurité, “ISO 27001 Lead auditor”. 

Etape 2 - Phase documentaire : renseigner la stratégie et les contrôles opérationnels (1 an et demi)

Dès juin 2019, nous avons ensuite créé les documents fondamentaux qui vont structurer notre sécurité au quotidien selon la norme ISO 27001. Concrètement, ces documents comportent 114 contrôles spécifiques et très opérationnels, répartis en 9 grandes politiques : 

• politique générale de sécurité ;

• sécurité des opérations ;

• sécurité du développement ;

• plan de réponse à incidents ; 

• manuel du système d'information ; 

• continuité d'activité ; 

• relations avec les fournisseurs ; 

• gestion des accès et des ressources ; 

• sécurité physique et des équipements. 

Chez nous, il s’agissait par exemple de mettre en place une procédure pour l'arrivée des nouveaux collaborateurs, de prévoir un plan de formation des salariés à la sécurité, etc.

L’entreprise doit cocher ces 114 contrôles pour passer à l’étape suivante. Ils permettent aussi de définir la politique de sécurité et de faire une analyse complète du risque dans l'organisation, pour tous les métiers et toutes les opérations. 

Etape 3 - L’audit blanc, confronter notre documentation à la réalité (au bout de 6 mois de préparation de l’audit)

Avant l’audit niveau 1, nous avons organisé un audit blanc avec BSI Group. Nous avons alors simulé un audit de niveau 2 pour évaluer notre état d'avancement. Jusque-là, nous parlions beaucoup de documentation, mais cela restait très théorique et nous voulions nous confronter à la réalité. Cette simulation s’est révélée extrêmement utile, et nous a permis de faire le point sur nos avancées. Puis, nous avons passé et réussi le niveau 1 en juin 2020.

Etape 4 - L’audit “Niveau 1”, présenter une documentation suffisamment solide (6 mois)

Nous avons commencé à préparer l’audit niveau 1 en janvier 2020. Cette première étape a deux objectifs précis :

• améliorer les processus, voir ce qu'il manque et faire un nouveau plan pour atteindre le niveau requis. Avec l'auditeur, on regarde l’ensemble des documents fondamentaux créés, pour s’assurer qu’ils correspondent aux exigences de la norme ;

• présenter à la direction le résultat de tout le travail effectué lors d'une "Management Review" (dont l'audit blanc). Concrètement, il s'agit d'une réunion avec l'ensemble des directeurs de département, où vous présentez les différentes politiques mises en place et les indicateurs de performance, le succès des actions menées jusqu'ici et tout ce qu'il reste encore à faire : tout ce qui peut nécessiter leur validation comme leur soutien.

Chez PayFit, nous avons bénéficié du soutien total de la direction qui a été très proactive pour nous aider. Comme elle reste proche des équipes, le projet a été porté par une envie commune de mener à bien les changements proposés, ainsi que par l’agilité inscrite dans l’ADN de PayFit. C’est ainsi devenu un projet d’entreprise avec le top management, et un projet pour les équipes avec des objectifs définis. 

Etape 5 - L’audit “Niveau 2”, obtenir la certification à travers 150 contrôles (4 mois) 

Le deuxième audit a eu lieu fin juillet. Il se déroule dans tous les sites de l’entreprise, pour nous dans les quatre pays où nous sommes présents (Allemagne, Espagne, France et Royaume-Uni). L’auditeur confronte alors la documentation au terrain pour vérifier les pratiques de l’entreprise sur les 150 contrôles exigés par la norme. Nous regardons ensemble toutes les preuves contrôle par contrôle. Par exemple, nous avons analysé nos processus et mesures de sécurité pris sur tout un cycle de développement d'une fonctionnalité. Nous avons aussi revu les accès et le matériel à la disposition d'un employé, en choisissant quelques salariés de manière aléatoire. 

Honnêtement, c’était un moment très stressant. Pendant deux ans, nous avons travaillé à mettre en place tous les processus pour obtenir la certification, et nous aurions été très déçus de ne pas l’avoir. Nous l’avons finalement obtenue en septembre 2020. 

Une fois obtenue, que vous apporte cette certification ?

Obtenir la certification ISO 27001 est une super nouvelle. D’abord, elle a un impact formidable en externe. Présenter la certification permet de changer notre image en montrant que PayFit grandit tout en devenant plus solide et mature. Nous passons du déclaratif à une preuve très concrète de nos engagements. Elle donne la garantie à toutes les parties prenantes de l’entreprise de travailler avec un acteur pleinement engagé dans la sécurité : clients, prestataires, partenaires. Cela aura sûrement un impact sur l’acquisition de nouveaux clients. Lorsqu’ils choisissent un prestataire pour gérer la paie, la sécurité est un élément décisif pour eux. 

En interne, avoir la certification requiert et prouve une volonté forte de s'engager durablement dans des enjeux de sécurité.

Justement, comment faire pour garder cette certification sur la durée ?

Cet audit du système d'informations est réalisé à un instant-T, mais l’entreprise ne relâche pas ses efforts pour autant. Par exemple, elle se fixe des objectifs durant l'audit, comme augmenter l'usage de certains outils. L'audit complet est renouvelé tous les trois ans, mais un contrôle est effectué chaque année. 

Aujourd'hui, on forme tous les employés à la sécurité, lors de leur premier jour et au moins une fois par an. C’est un processus obligatoire, mais je trouve cela extrêmement sain et positif. Avoir une formation spécifique à la sécurité et aux usages met en valeur la place qu’elle occupe dans notre organisation. Elle devient une problématique de l'entreprise entière et de chaque collaborateur, pas seulement celle de l'équipe IT. C’est ainsi que le niveau de sécurité peut être maintenu et amélioré au sein de l’entreprise.

Chacun peut ainsi comprendre en quoi un manquement aux procédures peut impacter toute l'entreprise, comment chacun participe à la disponibilité de notre produit, etc.

Quelle a été l'étape la plus compliquée ?

La première étape de documentation a été la plus complexe pour nous. Nous devions écrire toutes les actions que l’entreprise allait mettre en œuvre pour être conforme à l’intégralité de la norme. Nous étions face à une montagne documentaire et théorique. Construire les fondations d’un tel projet est long et fastidieux, d’autant plus que nous avions peu d’expérience en la matière !

En général, l’étape du “change management” est extrêmement compliquée dans les entreprises, notamment dans celles comptant des milliers de salariés. Si on rencontre de la résistance en interne, le processus d’obtention de la norme devient très pénible. Vous demandez à certaines équipes de rajouter ou de changer leurs processus et leurs habitudes quotidiennes. Il faut donc que la direction et l’ensemble des managers portent le projet.  Chez PayFit, avec 500 employés, nous n’avons pas eu à affronter cela. Au contraire, l’équipe sécurité a une mission comme les autres, et participe autant à la réussite de l’entreprise que n'importe quelle autre fonction.

Doit-on faire des compromis pour avoir la certification ?

Forcément, lorsque vous décidez de renforcer les processus de sécurité, vous renoncez à une partie de votre agilité. Davantage de processus sont mis en place, notamment pour les relations avec des tiers (prestataires, partenaires, etc). Par exemple, lorsque nous travaillons avec un nouveau prestataire, nous devons nous assurer des garanties de sécurité qu’il fournit. S’il est certifié, le processus est très rapide. C’est en revanche plus long s’il ne l’est pas !

De mon point de vue, c’est extrêmement positif et je ne le vois pas comme un sacrifice. D’abord, inclure la sécurité dans ses enjeux de développement et dans la structuration de l’entreprise est fondamental, notamment quand on traite par nature des données sensibles, comme PayFit. Ensuite, il faut savoir trouver le bon équilibre entre l'agilité et la sécurité. Chez nous, l’équilibre penche vers l’agilité et l’innovation, mais en toute sécurité. Il faut que les gens puissent aller le plus vite possible, mais pas à n'importe quelle condition. C'est maintenant une limite très claire, que nous prenons en compte dans chaque nouveau projet dès les étapes de design.

Les conseils de Guillaume pour entamer sereinement le processus de certification

1. Faire les choses dans le bon ordre : ne vous lancez pas dans le processus de certification si la sécurité n’a pas été un enjeu stratégique auparavant. La norme vient valider un système. Or si on se lance sans avoir de système en place, le retard à rattraper est trop important.

2. Avoir la volonté d’engager durablement l’entreprise dans des enjeux de sécurité :  - impliquer les fondateurs et la direction dans le processus permet d’engager l’ensemble des équipes ; - faire de la sécurité un enjeu structurant pour l'entreprise. Il ne s’agit pas simplement de cases à cocher. La sécurité est une problématique quotidienne qui fait partie de l’ensemble des opérations.

3. Prévoir un budget suffisant : prenez en compte les audits blancs et réels, l'accompagnement, les outils, etc

4. Mettre en place des outils nécessaires à l’obtention de la norme : comme l’outil de gestion centralisée pour manager la sécurité du matériel (JAMF chez PayFit) ou la vérification des antécédents pour les nouveaux employés qu'on ne faisait pas avant (diplôme, identité, dernière expérience).

5. Faire un audit blanc : cela permet de faire le point sur votre situation et d’améliorer ce qui doit l’être avant la grande inspection.

6. Former ses équipes :  - avoir au moins une personne certifiée auditeur ISO 27001 ; - former tous les employés à la sécurité.

7. Communiquer sur les enjeux de sécurité : généralement, les gens pensent que “sécurité” signifie uniquement “confidentialité”. Les développeurs et profils tech entendent “intégrité”. Peu voient le dernier pan : la disponibilité. S’assurer que notre application, notre produit et notre service soit disponible fait pourtant pleinement partie des garanties de la sécurité. La norme 27001 inclut d’ailleurs une partie business security et incident response.

8. Rendre sa certification visible :  - afficher le logo en signature de mail ; - dédier une page aux garanties de sécurité sur votre site ; - prévenir vos équipes commerciales : c’est un atout qui peut être déterminant pour certains clients.