Nous sommes heureux d'annoncer qu'après des mois de travail acharné, nous avons obtenu la certification ISO 27001 ! Cette étape souligne notre engagement en faveur d'une sécurité des données de premier ordre. En d'autres termes, vos informations sensibles sont entre de bonnes mains. L'obtention de cette certification n'a pas été facile - elle a exigé de la résilience et de la concentration. Heureusement, Andor nous a guidés tout au long du processus. Dans cet article de blog, il nous explique comment nous avons réussi à franchir cette étape.
La sécurité a toujours été une priorité absolue chez Easy LMS, et nous suivons déjà de près les normes GDPR. Alors pourquoi avons-nous décidé d'obtenir la certification ISO 27001 ? Quels avantages supplémentaires cela a-t-il apporté à ce que nous faisions déjà ?
"Absolument, nous avions déjà fait de grands progrès dans nos mesures de sécurité, mais nous n'avions pas une idée claire de leur degré de rigueur. Nous savions ce qui était en place, mais identifier les lacunes était un défi. C'est là que la norme ISO 27001 est intervenue : elle nous a fourni un cadre solide qui nous a permis de repérer plus facilement les vulnérabilités et de les combler efficacement. Cela a changé la donne pour nous. Elle a non seulement renforcé notre confiance dans notre sécurité, mais elle nous a aussi permis de nous assurer qu'en cas de problème, nous pouvions rapidement limiter les dégâts et rebondir. Cette approche a considérablement réduit le stress de nos développeurs et donné à nos clients la tranquillité d'esprit de savoir que leurs données sont en sécurité chez nous".
Finalement, la décision a été prise de poursuivre la certification ISO 27001. Mais comment s'attaquer à un projet d'une telle ampleur ? Quelle a été la première étape ?
"Honnêtement, cela a été un véritable défi au début. Mon partenaire dans le crime - Job, notre ancien directeur technique - et moi-même avions peu d'expérience dans la mise en œuvre d'une norme de ce type et ne savions pas trop comment tout cela allait se dérouler. Nous avons commencé par acheter un modèle de système de gestion de la sécurité de l'information (SGSI) et nous nous sommes lancés. La première étape logique a été d'évaluer nos besoins et de commencer à créer tout ce qui manquait. Au fur et à mesure que nous travaillions, nous avons naturellement trouvé ce qui fonctionnait le mieux pour nous et notre entreprise.
Comment avez-vous suivi les progrès réalisés au cours du projet ? Quelle a été votre approche ?
"Job et moi avions des réunions hebdomadaires pour nous assurer que nous nous rapprochions toujours un peu plus de notre objectif. Nous avons utilisé une méthode similaire au Kata d'amélioration, que nous appliquons également dans d'autres domaines. Il s'agissait de se concentrer sur les plus petites étapes susceptibles de nous rapprocher de notre objectif. Souvent, il s'agissait de documenter la situation actuelle ou d'apporter de petites modifications aux processus pour voir s'ils fonctionnaient pour nous".
Le plus grand défi a été de comprendre exactement ce que l'on attendait de nous
.
Quelle a été la partie la plus difficile de l'ensemble du processus ?
"Le plus grand défi a été de comprendre exactement ce que l'on attendait de nous. La certification s'adresse aussi bien aux grandes banques qu'aux petites entreprises, et les exigences peuvent donc varier considérablement. Avec de nombreuses interprétations différentes en ligne, il était crucial d'identifier ce qui était spécifiquement nécessaire pour notre situation, ce qui était parfois difficile à distinguer des perspectives des autres."
La mise en œuvre du SGSI est cruciale pour la certification ISO 27001, et elle implique souvent de changer la façon dont les employés travaillent. Comment avez-vous fait pour que l'équipe Easy LMS reste motivée et adhère à ces changements, en particulier lorsque cela aurait pu être ressenti comme un fardeau ?
"Absolument, il peut être difficile d'obtenir l'adhésion de tous aux changements de sécurité. Si le processus est trop compliqué ou ennuyeux, les gens peuvent essayer de le contourner. Dès le départ, nous nous sommes efforcés de simplifier au maximum les choses pour notre équipe. L'objectif était que les processus améliorent la sécurité sans entraver leur travail. Nous voulions qu'il soit pratiquement impossible de faire les choses de manière incorrecte. En outre, nous voulions éviter les reproches - si quelque chose ne va pas, il ne s'agit pas de pointer du doigt, mais d'améliorer le processus".
Puis est venu le jour de l'audit, réalisé par Brand Compliance, notre partenaire ISO. Comment s'est déroulé l'audit ? Étiez-vous nerveux ?
"Absolument ! Nous avions passé des mois à nous préparer pour ce moment, et j'avais l'impression que tout pouvait basculer à tout moment. Mais j'avais aussi confiance dans le travail que nous avions accompli. Lorsque l'auditeur est arrivé, il nous a expliqué exactement à quoi nous attendre, comment le processus allait se dérouler et ce qu'il allait rechercher. Cela nous a vraiment aidés à nous détendre pendant l'audit".
Nous avons été ravis d'obtenir les résultats
.
Je suppose que le soulagement a été grand lorsque nous avons reçu le résultat positif ?
"Absolument ! Nous avons été ravis de recevoir les résultats. Il y avait quelques points à améliorer, mais une fois que nous avons pris des mesures pour les résoudre, nous avons reçu notre certificat ISO 27001. Ce fut un grand soulagement et une grande satisfaction.
Maintenant que nous sommes certifiés, quelle est la prochaine étape ?
"Il s'agit maintenant d'utiliser le système que nous avons mis en place. Le maintenir et l'utiliser est en fait beaucoup plus facile que de le mettre en place. La clé est de continuer à utiliser le système pour garantir une sécurité et une amélioration continues. Au fur et à mesure que Easy LMS évolue, nous devons nous assurer que ces changements restent sécurisés. Finalement, nous passerons par une recertification pour nous assurer que tout fonctionne toujours bien, et il est important que nous réussissions cela aussi.
politique de confidentialité!
