Après de longs mois d'efforts, de revues de risques et de configurations, de relectures, corrections, mise en place et revues d'indicateurs, ateliers de travail, un audit blanc, de nouvelles machines à café et un audit officiel de Bureau Veritas plus tard, les Services Managés et le Support Nomios viennent d'obtenir la certification ISO 27001 :
Un travail de fond pour obtenir la certification ISO 27001
Un bilan de la certification en quelques chiffres :
- 10 personnes mobilisées dans l'équipe permanente de gestion du Système de Management de la Sécurité de l'Information (SMSI) de Nomios
- 18 mois de travail, de préparation, de revues, de remises en question et d'amélioration continue
- 111 mesures applicables et appliquées sur les 114 possibles pour les périmètres Services Managés et Support
- 9000 tasses de café (peut-être un peu plus !)
De l'état des lieux initial fin 2019 : analyse des risques par la méthode EBIOS RM, analyse des écarts à la norme…
… à la mise en place d’un plan de traitement des risques et remédiation, mise à jour ou création de certaines politiques et processus, débats autour des indicateurs pertinents et leur mise en place, évaluation et contrôles : malgré le COVID et les nombreuses contraintes en temps, en disponibilité et en logistique, l'exercice fut extrêmement utile à Nomios !
Partant d'un souhait de la Direction de Nomios d’amélioration de la gouvernance de ses Systèmes d’Information et de ses savoir-faire, ce projet au long cours aura permis de pérenniser les années de pratique de gestion des Systèmes d’information, et les efforts continus de structuration et de gouvernance forte des services de Nomios.
La mise à jour des politiques de sécurité existantes et la création de nouvelles politiques nécessaires à la couverture de la Norme (accès physiques, cryptographie, espaces de travail, contrôle d'accès logiques et imputabilité des actes d'administration, segmentation logique, etc.) fut l'occasion de revoir les usages historiques, et de les accorder de nouveau aux besoins business de Nomios : rendre un service réactif et pertinent pour ses clients, de la prise en charge des demandes au traitement des incidents et requêtes, le tout dans un environnement sûr et hautement disponible.
L'implication des acteurs-clés des Services Managés et du Support technique de Nomios fut donc essentielle à la bonne définition des objectifs et attendus de ce grand chantier ! Par la suite, la mise à jour et la revue de processus fonctionnels et de procédures techniques s'en est trouvée simplifiée et fluidifiée, l'ensemble des acteurs pertinents étant mobilisé dans une même équipe transverse, pilotée par les exigences de sécurité et de conformité !
La communication et les efforts de sensibilisation aux bonnes pratiques de sécurité et au respect des processus nouvellement mis en place étant primordiale, l’équipe Ressources Humaines a également pris une part importante dans l’effort commun, venant couronner les dispositifs organisationnels et techniques de Nomios.
Enfin, de nombreuses revues, débats et ateliers de travail conjoints ont été nécessaires pour atteindre enfin les automatismes et les bienfaits d’un processus d’amélioration continue !
Un travail d'équipes d'experts en cybersécurité et ressources humaines
Un énorme bravo et merci pour leurs efforts à l’équipe SMSI : Amélie Mariani, Alex Govindane, Adrien Hemard, Éric Porcher, Éric Bohec, Jean Pelini, Jérémy Sevré, Ludovic Merger et Robin Labat 🎉
Un Special Thanks à l’ensemble des équipes Services Managés, Support, Ressources Humaines et Administration du Système d’Information pour leur soutien et leur participation dans l’atteinte de cette belle nouvelle marche dans la croissance de Nomios !
