Almavia obtient la certification ISO 27001

Almavia a obtenu la certification ISO 27001, le 8 décembre 2017,  pour l’ensemble de ses activités. Délivrée par Certi Trust à l’issue d’un processus complexe engagé en 2016, elle garantit que cette ESN gère la sécurité de l’information dans le cadre d’une démarche structurée, aussi bien pour sa production que ses fonctions support. La conservation de ce véritable sésame passera par une poursuite de l’effort dans les années à venir.

Transformation de l’organisation

C’est en 2016 qu’Almavia a lancé la mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI) ayant vocation à être certifié ISO 27001 (Almavia s’engage dans un processus de certification ISO 27001). Pour cette ESN comptant une centaine de collaborateurs, ce chantier aura représenté le projet majeur de l’année 2017, et cela à plus d’un titre. Tout d’abord, parce qu’il a été porté par un engagement fort de la direction. D’autre part parce que l’ensemble des collaborateurs a contribué à sa réussite. Enfin, parce que l’effort consacré a généré un coût de l’ordre de 2,5 % du chiffre d’affaires annuel. En particulier, Almavia s’est fait accompagner par le cabinet Fidens, depuis le premier jour jusqu’à l’obtention de la certification.

L’organisation d’Almavia en a été transformée, donnant naissance à une DSI séparée des activités de production et qui réunit des compétences techniques, qualité et organisationnelles. 

Maîtrise et sécurisation du SI 

La maîtrise des processus métiers et des éléments techniques du SI est la condition incontournable permettant de garantir la sécurité dans la durée. Cette maîtrise est encadrée par la norme ISO 27001 (inspirée de l’ISO 9001) qui impose un contrôle qualité rigoureux des mesures de sécurité implémentées. Il se concrétise par des processus documentés, des revues périodiques et l’utilisation de checklists, ainsi que par des audits internes. Chaque déploiement d’une nouvelle mesure est surveillé par un indicateur. Par exemple, la sécurité des accès est garantie par le processus de gestion des mouvements de personnel, par des revues périodiques des comptes et des droits, et par des indicateurs de surveillance. De même chaque incident de sécurité est analysé à froid puis déclenche des actions curatives, correctives et préventives.

Almavia a ainsi renforcé la sécurité de ses locaux (vidéosurveillance, contrôle d’accès par badge…), des postes de travail (chiffrement, antivirus centralisé, limitation des droits…), de l’infrastructure informatique (externalisation des serveurs, sécurisation du réseau, authentification forte centralisée…) et des processus de production (documents d’architecture, chaîne d’intégration continue, revue de code…).

La sécurité de l’information étant l’affaire de tous, la sensibilisation de l’ensemble du personnel fut et restera la clé de voute de la démarche. Elle permet en effet de responsabiliser chaque salarié qui, en retour, nourrit l’amélioration continue du dispositif.

« Un système incroyablement mature » selon Certi Trust

Le point d’orgue du projet fut l’obtention, le 8 décembre 2017, de la certification ISO 27001. Elle a été délivrée par Certi Trust, organisme dont les auditeurs ont apprécié la conformité du SMSI d’Almavia. Voici deux citations particulièrement significatives, extraites du rapport d’audit :

« La Direction a démontré son engagement à améliorer son SMSI […]. » 

« L’équipe responsable de la mise en place organisationnelle et technique du SMSI […] s’est impliquée très fortement […] pour mettre en place un système incroyablement mature […]. »

Une certification pour 3 ans

La certification porte sur 3 ans. Durant cette période, les travaux continueront afin de faire progresser la sécurité. Parmi les chantiers majeurs à venir : la formation de l’ensemble du personnel, le renforcement du développement sécurisé et, encore et toujours, l’évolution de l’infrastructure. Pour continuer à développer ses activités et son SMSI, Almavia recrute de nouveaux collaborateurs sur les métiers techniques et orientés qualité de la cybersécurité.

Source : https://www.almavia.fr