Alten protège ses données en ISO 2700

La société d’ingénierie et de conseil en technologie a obtenu la certification de ses défenses numériques. Elle a instauré une gouvernance de la sécurité informatique.

Dans un fonctionnement en entreprise étendue, les fournisseurs portent le risque cyber pour leur donneur d’ordre. « Depuis deux ans, nos clients insistent de plus en plus sur la protection des données dans le cadre de projets communs », pointe Nicolas Guibout, responsable de la direction qualité, sécurité et développement durable d’Alten, une société d’ingénierie et de conseil en technologies forte de 18.000 ingénieurs. « En entreprise étendue, nous avons accès aux infrastructures informatiques de nos clients, explique-t-il. Or les cybercriminels passent très souvent par les prestataires pour s’attaquer à des cibles plus grosses. » Quand la sécurité numérique devient un argument commercial , démontrer son efficacité en la matière devient primordial. Dans ce contexte, Alten a demandé et obtenu la fameuse certification ISO 27001.

« Cette norme est reconnue par nos clients et elle est transverse à plusieurs secteurs d’activité », souligne Nicolas Guibout. D’autres normes (Secure Cloud, Cloud Confidence, etc.) existent, mais elles sont en effet plus spécifiques aux entreprises sensibles ou aux éditeurs de logiciels. Le référentiel ISO 27001, et son annexe 27002, exigent de respecter des dispositions techniques mais aussi d’instaurer une gouvernance de la sécurité informatique. Chez Alten, comme chez d’autres, le second point est souvent un plus gros défi que le premier.

Depuis cinq ans, un responsable de la sécurité des systèmes d’information – un RSSI – veille sur les pare-feu et antivirus. Mais la norme demande davantage. Un audit réalisé par Lexsi, la filiale d’Orange Cyberdéfense, a permis d’écrire une feuille de route pour s’y conformer.

Traditionnellement rattaché à la direction des systèmes d’information (DSI), le RSSI rapporte désormais à la direction Qualité, sécurité et développement durable, seule fonction transverse de l’organisation. « Toute l’entreprise devient responsable », affirme Nicolas Guibout. Dans chaque branche métier, un « risk owner » a donc été également désigné. « Chacun travaille en binôme avec le RSSI, ce dernier est le sachant auprès de qui ils peuvent s’adresser pour tenir leur rôle de responsable des risques de sécurité informatique », poursuit le professionnel. Dans chaque direction, cette centaine de personnes, surtout des managers formés pour l’occasion, prêche la bonne parole et explique les décisions prises quand la sécurité vient heurter certaines pratiques business. En cas d’incident, le RSSI et le « risk owner » analysent ensemble la cause du problème et y remédient.

Gouvernance de la sécurité

A plus haut niveau, la norme ISO 27001 requiert que les dirigeants de l’entreprise s’impliquent dans la cyberdéfense. Chez Alten, le PDG, le directeur général délégué et patron des activités françaises, le directeur général délégué aux finances, le patron des activités internationales, le DSI, le RSSI et le directeur qualité se réunissent tous les six mois à ce sujet. « Nous faisons des revues régulières des risques et des actions avec les métiers. Ce travail est aussi fait à l’international, notamment dans auprès des centres de prestation », explique Nicolas Guibout. Récemment, une action coup-de-poing a été menée pour sensibiliser des équipes au Maroc qui travaillent pour BMW.

En parallèle, un comité de pilotage suit la mise en oeuvre des nouvelles dispositions respectant la norme. Sur le plan technique, il se félicite du stockage dans un centre de données lui-même certifié ISO 27001 et du chiffrement des ordinateurs de bureau, portables, serveurs et smartphones de l’entreprise. Attention, son rôle de vigie fait office d’avertisseur avant la venue, tous les ans, de l’organisme de certification BSI pour un audit de contrôle. Pis, parfois ce sont les clients eux-mêmes qui viennent s’assurer de la mise en sécurité de leurs données.
En savoir plus sur http://business.lesechos.fr/directions-numeriques/technologie/cybersecurite/0211495396485-alten-protege-ses-donnees-en-iso-27001-302336.php?RPyE0bYgXboFuk5Y.99