Qualité Références n°75
La marché de la certification en 2017
La marché de la certification en 2017
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
DOSSIER<br />
Le marché de la certification en 2017<br />
Outscale a reçu sa recertification<br />
ISO 27001 délivrée par le groupe BSI.<br />
QR : Pourquoi avez-vous choisi<br />
l’organisme de certification BSI ?<br />
L.S. : Ce sujet a été important quand<br />
nous avons voulu suivre la démarche<br />
ISO 27 001. Nous voulions un acteur le<br />
plus global possible et le plus reconnu.<br />
BSI est l’acteur de référence pour la<br />
norme ISO 27 001 d’origine britannique.<br />
Mais il était très mal reconnu<br />
par les instances gouvernementales<br />
françaises. Nous étions donc devant<br />
un dilemme : un organisme franco-français<br />
ou un acteur plus international.<br />
Au final, comme notre société<br />
est présente, entre autres, en Chine et<br />
aux Etats-Unis, nous avons préféré la<br />
signature d’un acteur global.<br />
« Comme notre société est<br />
présente, entre autres, en<br />
Chine et aux Etats-Unis, nous<br />
avons préféré la signature d’un<br />
acteur global. »<br />
Nous avons été intéressés par la<br />
démarche d’accompagnement de<br />
BSI vers la certification. BSI met en<br />
avant les facteurs de progrès lorsqu’il<br />
réalise l’audit. Par exemple, il peut<br />
vous conseiller de lire une autre norme<br />
parce qu’elle peut être intéressante<br />
pour vos affaires. Nous avons constaté<br />
un vrai échange et un réel intérêt. De<br />
plus, nous avons eu des auditeurs<br />
venant de différentes régions dans le<br />
monde. Cela était intéressant d’avoir<br />
différentes visions. Dans chaque cycle<br />
de vérification et de recertification, des<br />
interlocuteurs nous posent des questions<br />
différentes et examineront des<br />
aspects différents de notre métier et<br />
de notre process. En revanche, si nous<br />
avions choisi un organisme français,<br />
nous aurions eu un résultat basé sur la<br />
technique et l’ingénierie. En France, on<br />
se questionne sur le « Comment faire ?<br />
» et non sur « Pourquoi on le fait ? ».<br />
Q.R. : Comment le processus s’est-il<br />
déroulé ?<br />
L.S. : La société a été construite en<br />
Security First ou Security by Design 3 .<br />
Ce choix a été décidé par rapport à<br />
notre métier qu’est le cloud computing<br />
4 . Nous stockons les données et<br />
le système d’information des clients<br />
vitaux pour la gestion de l’entreprise.<br />
Nous ne pouvons pas donc avoir le<br />
moindre problème de sécurité. Qui dit<br />
« Security by Design », dit « Mettre en<br />
3 L’intégration de la sécurité dès la<br />
phase de conception.<br />
4 L’exploitation de la puissance de calcul<br />
ou de stockage de serveurs informatiques<br />
distants par l’intermédiaire d’un réseau,<br />
généralement Internet.<br />
© DR<br />
place des normes pour les process ».<br />
Nous avons choisi donc dès la création<br />
de la société en 2010, différentes<br />
normes dont la norme américaine SAS<br />
70 5 et la norme européenne ISO 17001<br />
reconnue en Asie.<br />
Le process a été, d’abord, de mettre en<br />
place un message de démarrage pour<br />
expliquer à l’entreprise les raisons de<br />
cette décision. Ensuite, une équipe de<br />
qualité transverse a été mise en place<br />
pour débuter les procédures. Pendant<br />
2 ans, des auto-certifications ont été<br />
réalisées en interne. A un moment<br />
donné, nous sommes arrivés à un<br />
niveau de maturité suffisant pour choisir<br />
un prestataire et démarrer un vrai<br />
SMSI et la certification. Concernant<br />
le SMSI, nous avons été innovant en<br />
mettant en place un portail Internet et<br />
en digitalisant totalement l’ensemble<br />
de notre ISO 27001 et notre SMSI.<br />
Q.R. : Avez-vous été accompagné ?<br />
L.S. : J’ai été patron de réseaux de<br />
sécurité chez Bull pendant 1 an.<br />
Celui-ci avait un certain nombre<br />
d’auditeurs de qualité ISO 27 0001.<br />
Je connaissais donc un peu le sujet.<br />
J’avais un de mes collaborateurs qui<br />
s’était mis à son compte : Dominique<br />
Ciupa. Il est expert des normes et des<br />
systèmes de sécurité. Il nous a coaché<br />
pendant 18 mois. Enfin, il ne faut pas<br />
oublier la pierre fondatrice de l’ISO :<br />
« J’écris ce que je fais ». Il faut se rappeler<br />
de cette maxime tous les jours et<br />
cela permet d’avancer et de se poser<br />
les bonnes questions.<br />
Q.R. : Quels bénéfices cette certification<br />
a-t-elle apporté à votre groupe ?<br />
L.S. : Le premier bénéfice : avoir des<br />
process parfaitement documentés et<br />
pilotés, notamment sur les aspects de<br />
la sécurité. La sécurité dans le sens ISO<br />
5 Statement on Auditing Standards<br />
no.70<br />
46 IQUALITÉ RÉFÉRENCES • N°75 • Janvier 2018