Illustration montrant des documents et un cadenas

Nous avons obtenu la certification ISO 27001 pour la sécurité d'information.

2. février 2024 - de Martin Mattli

Depuis décembre 2023, Apps with love est certifié ISO/IEC 27001:2022. Nous consolidons ainsi nos normes de sécurité et de qualité. Il s'agit de notre troisième certification ISO, en plus de l'ISO 9001 pour notre système de gestion de la qualité et de l'ISO 14001 pour notre système de gestion de l'environnement. 

Une certification telle que la norme ISO 27001 indique en premier lieu comment, ou dans quelle mesure, une entreprise se préoccupe des aspects de la sécurité de l'information. En effet, une certification en soi n'apporte qu'une sécurité très limitée: la question centrale est de savoir comment les processus, les directives et les meilleures pratiques sont effectivement mis en œuvre au quotidien. Un certificat ISO est donc en premier lieu un indicateur qui montre que nous nous préoccupons en tant qu'entreprise des questions de sécurité de l'information. Nous l'avons bien sûr déjà fait auparavant, mais la certification nous oblige à examiner à la loupe tous les aspects pertinents de manière systématique et axée sur les processus. Ce blog post décrit quels sont ces aspects, comment fonctionne le processus de certification et ce que nous avons appris.

Qu'est-ce que la norme ISO 27001?

La norme ISO/IEC 27001 est une norme internationale pour les systèmes de gestion de la sécurité de l'information (ISMS). La norme spécifie les exigences pour l'établissement, la mise en œuvre, le maintien et l'amélioration continue du SMSI documenté. 

L'objectif principal de la norme ISO 27001 est donc d'aider les organisations ou les entreprises à mettre en place et à maintenir une approche systématique de la gestion des risques liés à la sécurité de l'information. 

Chez Apps with love, nous sommes en contact avec des informations sensibles sur les projets, les personnes et les clients, qui doivent être protégées contre les accès non autorisés, le vol, les manipulations ou la perte par des mesures de sécurité appropriées. ISO 27001 nous aide à assurer cette protection de manière systématique et orientée vers les processus.

Pourquoi avons-nous besoin de la norme ISO 27001?

Au cours des dernières années, les projets de logiciels que nous réalisons ont tendance à devenir plus importants et plus complexes. Cela signifie que nous devons souvent garantir et confirmer certaines exigences de sécurité du donneur d'ordre dès l'élaboration et la soumission de l'offre.

En raison du renforcement de la loi sur la protection des données en septembre 2023, de l'obligation de respecter la protection informatique de base dans certains projets et des récents incidents de cyberattaques, il était clair pour nous que nous voulions continuer à standardiser nos mesures et processus de sécurité déjà élaborés et les amener au niveau supérieur. C'est pourquoi nous avons décidé début 2023 de nous faire certifier ISO 27001.

Nos raisons principales pour une certification ISO 27001:

  1. Nous protégeons les informations sensibles: ISO 27001 contribue à protéger les informations sensibles telles que les données personnelles, les données clients et les données de projets, mais aussi les informations commerciales, contre l'accès non autorisé, le vol, la manipulation ou la perte. 

  2. Nous répondons aux exigences légales: Nous sommes tenus par la loi de prendre des mesures appropriées pour protéger les données internes et celles de nos client⸱e⸱s et partenaires. Les processus et directives ancrés dans la norme ISO 27001 nous permettent de satisfaire à ces exigences.

  3. Nous identifions les risques: la norme ISO nous permet d'identifier et d'évaluer les risques et menaces pour la sécurité de manière standardisée et d'en déduire des mesures concrètes pour les traiter.

  4. Nous augmentons la confiance dans la collaboration avec nos client⸱e⸱s: Avec la certification ISO 27001, nous montrons à nos client⸱e⸱s, partenaires commerciaux et parties prenantes que nous nous préoccupons activement de la sécurité des informations en tant qu'entreprise.

  5. Nous garantissons la continuité de notre activité et de celle de nos client⸱e⸱s : ISO 27001 nous aide, en tant qu'entreprise, à protéger les processus commerciaux et les systèmes informatiques contre les perturbations et les catastrophes et à assurer ainsi la continuité de l'activité.

Comment s'est déroulé le processus de certification ISO 27001? 

Le chemin vers la certification ISO 27001 est une procédure structurée qui garantit que le SMSI à élaborer répond aux exigences de la norme ISO. Le processus de certification se déroule en plusieurs étapes.

Identifier et évaluer les risques

Nous avons tout d'abord identifié et évalué la pertinence des risques BSI pour notre entreprise. La norme ISO 27001 s'oriente sur les risques identifiés par le BSI. Nous avons déterminé la pertinence de tous les risques BSI pour notre entreprise. Nous avons ensuite évalué la probabilité d'occurrence et l'ampleur des dommages pour tous les risques BSI pertinents.

Apps with love Matrix des risques
La matrice des risques d'Apps with love et les 10 principaux risques qui en découlent (état été 2023)

Risques BSI: BSI est l'abréviation de l'Office fédéral de la sécurité des technologies de l'information en Allemagne. Les risques BSI se réfèrent aux dangers ou menaces potentiels dans le domaine de la sécurité de l'information identifiés par cet office. Le BSI a pour mission de garantir et de promouvoir la sécurité informatique en Allemagne. Avec la norme BSI, le BSI propose une méthode reconnue qui permet aux entreprises de gérer efficacement et de manière ciblée leurs risques en matière de sécurité de l'information. Cette méthode s'appuie sur les dangers fondamentaux décrits dans le compendium IT-Grundschutz, qui servent de base à l'élaboration des modules IT-Grundschutz. Parmi les nombreuses menaces individuelles spécifiques à une entreprise, le BSI a élaboré les points les plus importants et les a transformés en 47 risques élémentaires qui doivent être évalués. La norme ISO 27001 s'oriente également sur les risques identifiés par le BSI.

La déclaration d'applicabilité définit le champ d'application

Le Statement of Applicability (SoA) est un élément essentiel du SMSI selon la norme ISO 27001. Le document SoA est l'instrument le plus important pour atteindre la norme ISO et comprend des exigences concrètes, des points de contrôle, des mesures et des décisions de mesures de sécurité selon les exigences de la norme.

Les éléments clés du SdA sont les suivants:

  • Identification des contrôles: le SoA énumère les contrôles de sécurité de l'information qu'une entreprise juge pertinents et applicables pour traiter les risques identifiés. Ces contrôles peuvent être de nature technique, organisationnelle ou juridique.

  • Déclaration d'applicabilité: pour chaque contrôle répertorié, le SoA indique si le contrôle est appliqué ou non dans l'entreprise. Il est clairement indiqué si le contrôle est "applicable" ou "non applicable".

  • Raison de la non-applicabilité: si un contrôle est considéré comme "non applicable", nous devons, en tant qu'entreprise, pouvoir le justifier et le documenter.

  • Documentation des exceptions: s'il y a des exceptions aux contrôles de sécurité établis, celles-ci sont documentées dans le SoA, ainsi que les raisons de l'exception.

Le SdA est un document dynamique et est mis à jour à chaque changement dans l'organisation. Il sert de document de référence pour les audits internes et externes et offre une vue d'ensemble claire des contrôles de sécurité que nous avons mis en place et de ceux qui ne le sont pas.

Pendant une dizaine d'ateliers, nous avons discuté avec Thomas Frischknecht de la société de conseil abrima-consulting des points de contrôle SoA et des mesures correspondantes.

Développer des mesures de sécurité

Sur la base des résultats de l'évaluation des risques et des points de contrôle du SdA, nous avons développé et documenté des mesures de sécurité pour tous les thèmes pertinents pour notre entreprise. Toutes les mesures sont intégrées dans le processus d'amélioration continue (PAC) et sont classées selon les catégories suivantes:

  • Contrôles organisationnels

  • Contrôles des personnes

  • Contrôles physiques

  • Contrôles techniques

Documentation des mesures et respect des exigences de la SoA

La documentation du SMSI est l'élément le plus important pour l'obtention et le maintien de la certification. En conséquence, la documentation nécessaire, comme par exemple le manuel ISO 27001, l'évaluation des risques, le document SoA, les objectifs de sécurité de l'information définis, la politique de sécurité ou le plan de traitement des risques, doit être établie et mise à jour.  

Chaque mesure définie concernant les points de contrôle du SdA nécessite finalement une preuve de mise en œuvre. Cela signifie que les mesures définies devaient être mises en œuvre dans le cadre de la 1ère certification. L'accent a été mis sur l'intégration des mesures de sécurité dans le quotidien de notre organisation et dans les processus.

Un aperçu approximatif et non exhaustif de l'étendue de la documentation:

  • Manuel ISO 27001 qui définit entre autres la politique de sécurité et l'applicabilité 

  • Directives de sécurité informatique pour les collaborateurs

  • Documentation des mesures techniques et organisationnelles (appelées TOM): Listes de contrôle, concept de protection des données, stratégie de sauvegarde, registre de traitement des données personnelles, classification des données et niveaux de confidentialité, etc.

  • Adaptations des processus: Processus pour le portefeuille de services et le catalogue de services, processus de gestion et de réponse aux incidents, mise à jour des guides de codage, processus pour l'onboarding et l'offboarding des collaborateur⸱e⸱s, adaptation des exigences non fonctionnelles standardisées, etc.

  • Plan d'audit et de formation

Audits internes et externes

Des audits internes et externes sont réalisés pour s'assurer que notre ISMS est efficace et conforme aux normes pertinentes.

Il est vérifié que les directives de conformité et les directives spécifiques telles que la directive sur la sécurité de l'information pour les collaborateurs et les fournisseurs ainsi que la directive sur la protection des données et le traitement des données personnelles sont respectées. 

Dans le cadre d'un audit externe, un organisme de certification indépendant procède à une évaluation du SMSI. Cela comprend souvent un examen de la documentation, des entretiens avec les collaborateur⸱e⸱s et une vérification des mesures de sécurité mises en œuvre.

Maintenir et améliorer

Il est important de souligner que la certification ISO n'est pas une histoire ponctuelle. Elle nécessite un contrôle régulier et une amélioration continue. Pour s'en assurer, nous misons sur un processus d'amélioration continue (PAC), qui prévoit des vérifications régulières et la mise en œuvre de mesures d'optimisation. 

Celle-ci comprend également l'évaluation annuelle des risques afin de s'assurer que les objectifs de sécurité de l'information sont en accord avec les objectifs stratégiques de l'entreprise. Le KVP nous aide en outre à ancrer petit à petit les mesures et les principes de sécurité dans notre culture d'entreprise.

Martin Mattli, Fabienne Meister et Olivier Oswald avec le certificat ISO 27001
L'auteur du blog et Fabienne Meister de l'équipe de gestion de la qualité présentent avec le CTO Olivier Oswald la certification ISO 27001 obtenue.

Focus sur les conditions, le cadre et les mesures

  • Nous assurons le contrôle d'accès aux systèmes, serveurs, bureaux et sites et n'accordons l'accès aux données et informations sensibles qu'aux personnes autorisées.

  • Nous avons un rôle de délégué à la protection des données et d'organisation RSSI.

  • Nous développons constamment nos politiques et procédures de sécurité informatique et le concept de conservation des données.

  • Nous réalisons des audits internes et externes pour nous assurer que les mesures de sécurité et de protection des données que nous avons mises en place sont efficaces.

  • Nous formons nos collaborateurs à la sécurité et à la protection des données.

  • Nous assurons notre processus de gestion des incidents et de réponse afin de pouvoir réagir rapidement et efficacement aux incidents de sécurité.

Articles techniques de base toujours garantis

  • Firewalls

  • Patchs et mises à jour de sécurité : Mise à jour régulière des systèmes d'exploitation, applications et autres composants logiciels

  • Cryptage SSL/TLS

  • Monitoring de nos systèmes et applications

  • Contrôle d'accès et gestion des autorisations (serveurs, applications, mots de passe)

  • Sauvegardes ainsi que restauration testée

  • Séparation des environnements de développement de production et de test/stage

Avec la norme ISO 27001, nous avons consolidé les bases d'un avenir sûr.

Avec la certification ISO 27001, nous avons franchi une étape importante. Nous créons ainsi plus de sécurité dans nos activités commerciales en les protégeant par des mesures globales de sécurité de l'information. Nous nous assurons que les lois et les directives de conformité sont respectées afin de protéger les données des clients, des personnes et des projets ainsi que la réputation de notre entreprise.

Nos pratiques de sécurité sont intégrées dans tous les processus de l'entreprise afin de minimiser les risques internes et externes et de renforcer la confiance de nos client⸱e⸱s dans notre collaboration. 

En prenant la sécurité et la protection des données au sérieux et en les surveillant et en les améliorant en permanence, nous garantissons non seulement la protection des informations et des données sensibles, mais aussi l'intégrité à long terme de notre entreprise. 

Vers toutes nos certifications

Ce qui pourrait aussi t'intéresser

Illustration du processus de continuous delivery
24. octobre 2022 - de Alain Stulz

Continuous Delivery cohérent pour iOS - Voici comment nous avons simplifié le processus

Continuous Delivery permet d'économiser du temps et de l'énergie. Alain explique comment nous avons mis en place ce processus au fil des ans.
Épave d'avion
6. septembre 2021 - de Martin Mattli

L'analyse des causes profondes dans le développement de logiciels: pourquoi il n'y a pas d'erreurs de la part des chefs de projet* et des pilotes

Quel est le rapport entre les accidents d'avion et le développement de logiciels? Et comment trouver la cause d'un problème?
Nous venons de remarquer que vous surfez avec Internet Explorer. Malheureusement, notre site web n'est pas aussi agréable avec ce navigateur.

Vous voulez savoir pourquoi ?
Nous avons écrit à ce sujet.

Vers le blog

Vous avez besoin d'aide pour le passage à l'euro ?
Contactez-nous. Nous serons heureux de vous aider.

Contact

Installer un nouveau navigateur ?
Il y a un choix à faire.

Browser