Textkernel a considérablement renforcé ses accréditations de sécurité après avoir réalisé avec succès un audit de sécurité rigoureux et avoir obtenu la certification IS0 27001. La sécurité et la confidentialité des données sont d’une importance capitale, ce sont des points sur lesquels la grande majorité de nos clients se montrent intransigeants. Bien que Textkernel ait toujours mis un point d’honneur à préserver la confidentialité et la sécurité de nos données, cette nouvelle réalisation signifie qu’à l’avenir, nous nous engageons à systématiquement maintenir ce niveau élevé de sécurité des données.
Nous avons pris le temps de nous entretenir avec Johan van der Zel, Responsable sécurité informatique chez Textkernel, et Maciej Hoch, Directeur technique, pour discuter de la norme et des raisons pour lesquelles elle constitue un jalon important pour notre entreprise. Retrouvez les moments forts dans la vidéo de 3 minutes ci-dessous, ou lisez la suite pour un aperçu plus détaillé :
Quelques données générales
ISO 27001 est une norme publiée par l’Organisation internationale de normalisation, qui définit les exigences pour un système efficace de gestion de la sécurité de l’information. Cette norme fournit aux entreprises un cadre d’évaluation de la conformité à un niveau élevé de sécurité et de confidentialité des données.
“Chez Textkernel nous avons pleinement conscience de la valeur des données que nous traitons pour nos clients, nous voulons donc vraiment nous assurer de les sécuriser de la meilleure façon possible.” Johan van der Zel, Responsable sécurité informatique, Textkernel
Pourquoi opter aujourd’hui pour des normes de sécurité plus élevées ?
Selon Maciej Hoch, directeur technique chez Textkernel, l’élaboration du projet ISO s’est basé sur deux observations. »La première consiste à prendre en compte le fait que nous travaillons de plus en plus avec de grandes entreprises et que ces clients souhaitent uniquement collaborer avec des organisations dignes de confiance. Et la façon de gagner la confiance de ces organisations est de leur présenter un audit indépendant prouvant qu’en tant qu’entreprise, nous respectons certaines normes de sécurité. » Puis Maciej ajoute : « La deuxième est qu’en tant que Textkernel, nous nous sentons responsables des données de nos clients et de la sécurité. Ces deux dynamiques s’intégrant parfaitement dans le projet ISO, nous avons décidé d’en faire l’une des initiatives les plus importantes à mettre en exécution chez Textkernel”.
La norme ISO n’est pas simplement une procédure ponctuelle dans le cadre de laquelle nous nous préparons à un audit, le réussissons et obtenons ensuite une certification. Elle exige plutôt que nous mettions en œuvre une amélioration continue de nos procédures et que nous tenions compte en priorité de la sécurité avant l’implémentation de tout changement.
La démarche de Textkernel en vue de l’obtention de la certification
L’obtention de la certification commence par la conception de nos systèmes. Ces derniers ont fait l’objet d’une étude détaillée avant et pendant la mise en œuvre pour s’assurer que la sécurité demeure la principale préoccupation. « Cela exige des efforts de la part de toute l’entreprise », précise Johan. « Ce n’est pas seulement une équipe chargée de la sécurité qui est responsable de chaque initiative et de chaque procédure.Tout le monde doit participer, depuis les équipes responsables des opérations informatiques jusqu’au personnel administratif, même s’il s’agit simplement, par exemple, de garder son ordinateur portable fermé pendant qu’on va déjeuner.”
Johan explique que l’ISO ne se limite pas à l’infrastructure qui héberge nos services, mais qu’elle englobe également les processus à l’échelle de l’entreprise et la façon dont nous gérons la continuité des activités. « Nous devons regarder ce qui se passe dans le monde et nous assurer qu’en cas de contretemps, nous sommes en mesure de faire preuve d’efficacité et de réagir rapidement.
Les “incidents de sécurité” ne sont pas seulement comme dans les films
L’ISO va bien au-delà de la sécurité numérique des données. L’un des exemples soulignés par l’auditeur était que nous devions faire l’effort de mieux nous renseigner sur l’entreprise de nettoyage avec laquelle nous travaillons : cette entreprise ayant accès à nos bureaux, il nous faut évaluer les risques potentiels que cela implique pour notre organisation. Heureusement, c’est très facile à contrôler, explique Maciej. « Les solutions les plus complexes consistent à s’assurer que notre réseau est sécurisé lorsque nous nous connectons avec des fournisseurs tiers, grâce à des procédures de surveillance active et d’escalade qui nous permettent de remédier en quelques minutes à tout incident potentiel.
