Silvr est officiellement devenu le premier néolender européen à obtenir la certification ISO/IEC 27001 ! Nous avons passé les six derniers mois à sécuriser notre infrastructure d'information avec notre fournisseur de services de conformité Vanta et l'organisme de certification ISO British Assessment Bureau. Curieux de savoir comment et pourquoi nous l'avons fait ? C'est par ici.
Qu'est-ce que la certification ISO/IEC 27001 ?
Cette certification est l'une des 25 000 normes internationales accordées par - vous l'avez sûrement deviné - l'Organisation Internationale de Normalisation. La norme ISO/IEC 27001 en particulier est développée pour attester qu'un système de gestion de la sécurité de l'information (ou en anglais : Information Security Management System, pour ISMS) a été mis en place pour préserver la confidentialité, l'intégrité et la disponibilité des informations en appliquant un processus de gestion des risques vérifié. En d'autres termes, il s'agit de la norme mondiale la plus haute qu'une entreprise puisse appliquer pour s'assurer qu'elle traite les données de la manière la plus sûre possible.
Pourquoi ISO/IEC 27001 est-elle si difficile à obtenir ?
Le processus exige de certifier la protection des données sous toutes ses formes. Qu'est-ce que cela signifie ?
- L'information sous toutes ses formes, numériques et analogiques, est protégée ;
- La résistance aux cyberattaques est renforcée ;
- La centralisation des informations est garantie ;
- La protection à l'échelle de l'entreprise (à la fois numérique et physique) est assurée ;
- La menace est gérée ;
- L'intégrité, la confidentialité et la disponibilité des données sont protégées.
En quoi consiste le processus de certification ?
Toute organisation désireuse d'obtenir la certification ISO/IEC 27001 doit prendre certains engagements, ils concernent notamment :
- Le leadership : il est essentiel qu'un cadre supérieur de l'organisation accepte la responsabilité collective du ISMS. Chez Silvr, il s'agit du CTO et cofondateur, Greg Tappero.
- Les processus et budgets : la sécurité n'est pas seulement une affaire qui concerne le département informatique. Toute l'entreprise et tous les départements sont impliqués.
- L'évaluation initiale : une enquête approfondie doit être menée pour évaluer le niveau actuel de protection des données.
- Le plan d'action : après l'évaluation, l'entreprise définit le plan pour atteindre le niveau suffisant de protection des informations à long terme.
- La gestion des opérations : assurer une gestion adéquate et efficace des activités liées au ISMS. Chez Silvr, cela s'est traduit par la rédaction de 15 politiques supplémentaires que toute l'entreprise s'est engagée à suivre, ce qui représente plus de 110 points de contrôle.
À la fin de ce processus, vous pouvez être assuré que les meilleures pratiques ont été mises en place pour sécuriser le service numérique en interne (pour les employés) et en externe (pour les partenaires et les clients).
"Après avoir complété le rapport de l'étape 1, il nous a fallu environ 4 mois de travail collaboratif intense", a partagé Thomas Pelletier, VP of Engineering. "L'étape 2 a ensuite certifié que nous faisons ce que nous disons faire. Le British Assessment Bureau a validé que nous avions défini un mécanisme de contrôle pour chacune des exigences de la norme ISO/IEC 27001, et a échantillonné les preuves que nous avions mis en œuvre ces contrôles."
Pourquoi ISO/IEC 27001 est-elle importante pour Silvr ?
Avec l'expansion de l'économie numérique, la cybersécurité devient un enjeu majeur - en particulier dans le contexte des opérations commerciales en ligne (télétravail, services bancaires ouverts, multiplication des appareils connectés, etc.) Le Forum économique mondial a indiqué que le nombre de cyberattaques en 2020 a augmenté de 22 % par rapport à l'année précédente. En outre, 35% des attaques durant la pandémie ont été réalisées à l'aide de logiciels malveillants et de méthodes jusqu'alors inconnus (rapporté par Deloitte).
L'importance de la protection des systèmes d'information et des réseaux est donc cruciale. Encore plus dans l'ère post-Covid - notamment pour les transactions, les opérations et l'échange de données.
Pourquoi Silvr a obtenu la certification ISO ?
Toute entreprise numérique doit protéger ses systèmes d'information. La certification ISO/IEC 27001 était le meilleur moyen de s'assurer que nous avons tout mis en place pour nous améliorer en permanence - ce qui pour une startup Fintech comme Silvr, est essentiel. En vue de notre expansion en Allemagne, nous devions nous assurer que nous protégions les données de nos clients et les nôtres selon les normes les plus élevées possibles - nous avons donc entamé le processus de préparation à la certification ISO/IEC 27001 il y a près d'un an.
Qu'est-ce que cela signifie pour nos clients et nos partenaires ?
En tant que Fintech B2B, nous devions disposer d'un moyen sûr de nous développer sur de nouveaux marchés. Nous demandons aux gens d'accéder à leurs données professionnelles - comme leurs relevés bancaires, l'historique des achats, les dépenses en marketing en ligne - nous devons donc être certains que ces données sont toujours traitées en toute confidentialité.
"L'accès aux dossiers financiers privés des entreprises est très délicat, c'est pourquoi nous plaçons la sécurité de l'information au centre de tous les processus et systèmes que nous construisons", explique Greg Tappero, directeur technique. - Nous sommes fiers d'être le premier neolender européen à sécuriser son infrastructure d'information avec la certification ISO/IEC 27001. Cela montre à tous nos partenaires financiers et de plateforme à quel point nous prenons au sérieux la sécurité et la protection des données. Nous connaissons son importance en Allemagne, et nous n'envisagerions pas d'entrer sur ce marché sans l'obtenir."
Vous envisagez vous aussi d'obtenir la certification ISO ?
Voici quelques conseils !
Ayant nous-mêmes traversé le difficile parcours ISO/IEC 27001, nous pouvons partager certains conseils avec toute autre entreprise numérique prête à l'entreprendre. Voici quelques conseils pratiques de Thomas sur les éléments à prendre en compte lors de l'établissement d'un cadre de contrôle (en tant que véritable ingénieur, il reste bref !) :
Plus vous commencez tôt, mieux c'est : plus l'entreprise est grande, plus c'est difficile.
Assurez-vous de l'engagement de tous les dirigeants : il s'agit d'un effort à l'échelle de l'entreprise.
Achetez une licence pour une plateforme de conformité : nous sommes très satisfaits du soutien de Vanta à cet égard.
Lisez la norme : encore et encore, plusieurs fois, jusqu'à ce que vous la compreniez vraiment.
Soyez pratique : la norme 27001 est destinée aux entreprises de toutes tailles, les meilleurs processus sont ceux qui suivent la norme et le flux de votre entreprise.
Visitez notre page de confiance pour accéder à notre certificat ISO/IEC 27001 et aux mises à jour de contrôle en temps réel. Et si vous avez d'autres questions sur ce sujet, contactez-nous à l'adresse help@silvr.co
