Qualité Références n°75

DOSSIER
Le marché de la certification en 2017
Outscale a reçu sa recertification
ISO 27001 délivrée par le groupe BSI.
QR : Pourquoi avez-vous choisi
l’organisme de certification BSI ?
L.S. : Ce sujet a été important quand
nous avons voulu suivre la démarche
ISO 27 001. Nous voulions un acteur le
plus global possible et le plus reconnu.
BSI est l’acteur de référence pour la
norme ISO 27 001 d’origine britannique.
Mais il était très mal reconnu
par les instances gouvernementales
françaises. Nous étions donc devant
un dilemme : un organisme franco-français
ou un acteur plus international.
Au final, comme notre société
est présente, entre autres, en Chine et
aux Etats-Unis, nous avons préféré la
signature d’un acteur global.
« Comme notre société est
présente, entre autres, en
Chine et aux Etats-Unis, nous
avons préféré la signature d’un
acteur global. »
Nous avons été intéressés par la
démarche d’accompagnement de
BSI vers la certification. BSI met en
avant les facteurs de progrès lorsqu’il
réalise l’audit. Par exemple, il peut
vous conseiller de lire une autre norme
parce qu’elle peut être intéressante
pour vos affaires. Nous avons constaté
un vrai échange et un réel intérêt. De
plus, nous avons eu des auditeurs
venant de différentes régions dans le
monde. Cela était intéressant d’avoir
différentes visions. Dans chaque cycle
de vérification et de recertification, des
interlocuteurs nous posent des questions
différentes et examineront des
aspects différents de notre métier et
de notre process. En revanche, si nous
avions choisi un organisme français,
nous aurions eu un résultat basé sur la
technique et l’ingénierie. En France, on
se questionne sur le « Comment faire ?
» et non sur « Pourquoi on le fait ? ».
Q.R. : Comment le processus s’est-il
déroulé ?
L.S. : La société a été construite en
Security First ou Security by Design 3 .
Ce choix a été décidé par rapport à
notre métier qu’est le cloud computing
4 . Nous stockons les données et
le système d’information des clients
vitaux pour la gestion de l’entreprise.
Nous ne pouvons pas donc avoir le
moindre problème de sécurité. Qui dit
« Security by Design », dit « Mettre en
3 L’intégration de la sécurité dès la
phase de conception.
4 L’exploitation de la puissance de calcul
ou de stockage de serveurs informatiques
distants par l’intermédiaire d’un réseau,
généralement Internet.
© DR
place des normes pour les process ».
Nous avons choisi donc dès la création
de la société en 2010, différentes
normes dont la norme américaine SAS
70 5 et la norme européenne ISO 17001
reconnue en Asie.
Le process a été, d’abord, de mettre en
place un message de démarrage pour
expliquer à l’entreprise les raisons de
cette décision. Ensuite, une équipe de
qualité transverse a été mise en place
pour débuter les procédures. Pendant
2 ans, des auto-certifications ont été
réalisées en interne. A un moment
donné, nous sommes arrivés à un
niveau de maturité suffisant pour choisir
un prestataire et démarrer un vrai
SMSI et la certification. Concernant
le SMSI, nous avons été innovant en
mettant en place un portail Internet et
en digitalisant totalement l’ensemble
de notre ISO 27001 et notre SMSI.
Q.R. : Avez-vous été accompagné ?
L.S. : J’ai été patron de réseaux de
sécurité chez Bull pendant 1 an.
Celui-ci avait un certain nombre
d’auditeurs de qualité ISO 27 0001.
Je connaissais donc un peu le sujet.
J’avais un de mes collaborateurs qui
s’était mis à son compte : Dominique
Ciupa. Il est expert des normes et des
systèmes de sécurité. Il nous a coaché
pendant 18 mois. Enfin, il ne faut pas
oublier la pierre fondatrice de l’ISO :
« J’écris ce que je fais ». Il faut se rappeler
de cette maxime tous les jours et
cela permet d’avancer et de se poser
les bonnes questions.
Q.R. : Quels bénéfices cette certification
a-t-elle apporté à votre groupe ?
L.S. : Le premier bénéfice : avoir des
process parfaitement documentés et
pilotés, notamment sur les aspects de
la sécurité. La sécurité dans le sens ISO
5 Statement on Auditing Standards
no.70
46 IQUALITÉ RÉFÉRENCES • N°75 • Janvier 2018