Swiss Post Solutions confirme son expertise en matière de sécurisation de l’information

swiss post

En obtenant la certification AFAQ ISO/CEI 27001 début 2013, Swiss Post Solutions France fait valoir auprès de tous ses clients sa capacité à leur apporter la meilleure sécurité quant à l’externalisation, la dématérialisation et la circulation des informations qu’ils lui confient. Marilyn Masselis, responsable Qualité, Sécurité et Environnement, nous résume l’essentiel du travail à accomplir pour rapidement tirer profit de la certification AFAQ ISO/CEI 27001.

Au départ, c’est une volonté de notre maison mère, la Poste Suisse, de voir tous ses sites Swiss Post Solutions dans le monde certifiés ISO 27001. L’objectif est clair : être reconnu parmi les meilleurs dans le traitement sécurisé de l’information. Y compris l’information dite critique. C’est inscrit dans notre politique : garantir une totale confidentialité. C’est tout l’intérêt de l’ISO/CEI 27001 : confirmer, jusque dans sa dimension technique, ce savoir-faire. Quant au choix d’AFNOR Certification pour nous accompagner dans cette démarche, il était presque naturel puisque nous avions déjà travaillé ensemble pour notre certification ISO 9001. Et même si nous nous sommes renseignés auprès d’autres organismes certificateurs, AFNOR Certification a été celui qui nous a parfaitement présenté la démarche ISO 27001. Pour entrer dans le vif du sujet, il faut compter une bonne année de travail pour répondre parfaitement aux exigences de la norme.

Si l’analyse des risques et la rédaction des politiques et procédures sont les plus chronophages, ce qui garantit la réussite d’un tel projet c’est la pédagogie, car l’ISO 27001 suppose beaucoup de changements dans le travail au quotidien de tous les salariés. Chacun doit être impliqué pour saisir l’intérêt de cette démarche, pour lui comme pour l’entreprise. Ce n’est pas anodin car nous devons renforcer un certain nombre de points sur le plan de la sécurité mais également changer des habitudes dans la façon de travailler.

Concrètement, il faut savoir que la certification en elle-même demande de créer des politiques et des procédures. Par exemple comment gérer l’accès à nos sites de production que ce soit sur le plan physique ou logique ? À quelle heure quel type de salarié a la possibilité d’entrer dans le site ? Quels sont les badges avec photos que nous avons le droit de distribuer légalement ? Quel salarié peut accéder à distance aux ordinateurs des sites et à quel type de données a-t-il droit ? En fait, pour résumer, il faut lister tout ce qui peut être de l’information ou qui traite l’information dans l’entreprise. C’est ce que la norme nomme des actifs.

La certification AFAQ ISO/CEI 27001 permet de nous inscrire dans une véritable démarche d’amélioration continue pour constamment diminuer les risques.

Une fois tous les actifs répertoriés, classés par spécificité et priorité, il faut mettre en face les risques encourus et le type de garanties que nous devons apporter pour éviter tel ou tel risque.

Ce sont les procédures. C’est vraiment un des gros point fort de la certification AFAQ ISO/CEI 27001 : elle permet de nous inscrire dans une véritable démarche d’amélioration continue pour constamment diminuer les risques. Si nous sommes certifiés c’est que nous avons prévu la gestion des incidents, quels qu’ils soient. C’est donc toute une documentation détaillée et formalisée avec des arguments concrets et objectifs que nous pouvons revendiquer. Nous prouvons ainsi à nos clients notre excellence en matière de sécurité et de confidentialité de l’information qu’ils nous demandent de gérer.
C’est cette même documentation suivie des interviews terrains que les deux auditeurs d’AFNOR Certification sont venus audités en décembre 2012. L’un connaissait notre métier et l’autre non, mais tous les deux avaient une sérieuse compétence en matière informatique et de sécurité technique. Pendant 3 jours et ½, je les ai donc accompagnés dans leur travail de vérification terrain pour constater que tout ce que nous affirmions dans notre documentation était correct.

Ce que j’ai surtout apprécié, c’est qu’ils n’étaient pas là pour nous juger mais plutôt pour nous conseiller en nous indiquant, par exemple, des axes sur lesquels nous pouvions encore nous améliorer. Au bout du compte nous avons été certifiés.

Aujourd’hui, la moitié de nos clients nous demande d’être certifiés ISO/CEI 27001

Reste maintenant à constater ce que nous apporte la certification AFAQ ISO/CEI 27001. C’est encore trop tôt pour en voir les effets en termes de chiffre d’affaires. Mais ce qui est déjà certain c’est qu’en interne les mentalités ont changé. Les salariés prennent l’initiative de signaler tel ou tel petit dysfonctionnement. Tous éteignent les ordinateurs quand ils partent. Vis-à-vis du marché nous sommes aussi en phase avec l’évolution des mentalités. Il y a seulement 3ans nous voyions très peu de demandes de sécurisation de la part de nos clients. Aujourd’hui, la moitié d’entre eux nous demande d’être certifiés ISO/CEI 27001 ou d’avoir engagé la démarche.

Même s’il s’agit d’une certification très technique, la certification AFAQ ISO/CEI 27001 offre un véritable avantage concurrentiel. Et sur le plan pratique, ce qui n’est pas négligeable, elle nous permet d’assurer une continuité d’activité quel que soit le type d’incident, majeur ou mineur. Un scanner tombe en panne nous avons la solution. Un site de production tout entier est indisponible à cause de la neige, nous pouvons basculer sur un autre site…

AFAQ ISO/CEI 27001

AFAQ 27001

Avec la certification AFAQ ISO/CEI 27001, les entreprises ou administrations garantissent aux parties prenantes (clients, actionnaire ou encore partenaires) une véritable amélioration continue de la gestion de la sécurité de de leurs propres systèmes d’information : mesures de protection et de sécurité par la mise en œuvre d’un plan garantissant disponibilité, intégrité et confidentialité de l’information.

En savoir plus

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *