Reverdy a écrit : « Il n‘y a pas d’amour, il n‘y a que des preuves d’amour. » Et si on remplaçait l’amour par la sécurité ?
Tu es patron(ne) de ta jeune pousse ? Tu es fier(e) d’elle, tu la vois grandir et tu as les plus grandes ambitions la concernant. La question n’est pas vraiment de savoir si ton entreprise va survivre, tu as de belles perspectives de croissance à 2 ans et peut-être viens-tu de boucler une levée de fond ?
Tu entends et observes que tes prospects adorent ton produit et qu’ils aimeraient vraiment le déployer, ton board est aux anges : mais … Tu buttes encore et toujours sur certains obstacles, tu les sens douter de toi, que quelque chose les retient. Dans le même temps qu’ils mettent à te poser plein de question sur ta sécurité.
Les clients demandent des gages de sécurité ?
Si tu es technophile tu valoriseras les résultats du dernier bug bounty. Mais voilà cela ne leur suffit pas. Ils sont acteurs du bancaire, de l’industrie, des télécom, du web et chaque jour ils transmettent à tes équipes tout un tas de documentations et de formulaires à remplir.
Tu entends parler de normes, de règlement et de référentiel de certification. Tu bouquines des articles et ce bon vieux LinkedIn. Tu lis des choses sur ISO, ISAE, HDS et le fameux RGPD. Tu entends parler de l’ANSSI, du Cloud Act , Privacy Shield (et ce n’est pas non plus un énième Marvel).
Mais voilà tu as envie de plaire à ton client, de lui prouver que tu prends ta santé numérique au sérieux mais tu te demandes encore si tu dois franchir le cap.
Toi aussi tu as besoin d’être rassuré. Finalement tu n’es pas si différent de tes clients. Alors pour t’aider à franchir ce cap, je me suis permis de prendre ta place et de te faire poser certaines questions.
Pourquoi mes clients me demandent-ils de me certifier ?
Si tes clients sont principalement des grands comptes (CAC40 , SBF 120), et qu’ils évoluent dans certains secteurs d’activité stratégiques pour l’Etat, l’enjeu de leur propre sécurité est crucial. Par conséquent, une part non négligeable de leur budget est alloué à la sécurité numérique (et à la production documentaire ad-hoc).
Tu dois savoir que pour certains d’entre eux (OSE) une organisation nommée l’ANSSI (à mi-chemin entre l’association 1901 et la NSA) leur impose de nombreuses contraintes de sécurité, et ils n’ont pas d’autre choix que de suivre ces règles !
Parmi ces règles, ils sont celles de veiller à la sécurité de leurs fournisseurs et de leurs sous-traitants en leur demandant de leur délivrer des certificats de conformité sur de nombreux aspects.
Tu réalises que de leur apporter une preuve de sécurité ou de conformité leur permettra de se mettre bien avec leurs autorités de contrôle. Tu deviens le passager de la voiture qui a également attaché sa ceinture, tu peux donc croiser un barrage de Police, tu seras confiant et le conducteur aussi !
Et vu qu’en plus tu es un fournisseur sympa, tu as envie de simplifier la vie de ton client 😉
Ok mais c’est quoi une certification ?
Une certification c’est un peu comme un diplôme pour l’entreprise détentrice. Elle atteste du respect d’exigences organisationnelles et techniques d’un « référentiel » (sorte d’annuaire détaillé des exigences). Plusieurs organismes créent ces référentiels, il peut s’agir d’entreprises (telles que ISO) ou organisations publiques (Federal Drug Administration FDA , ASIP santé). Attention une certification n’est pas un label.
La certification est généralement délivrée pour une année et est remise en jeu tous les ans lors des audits de surveillance et de renouvellement.
Et concrètement qu’est ce que cela va me faire gagner ?
Du temps ! (et le temps c’est de …).
Tu en as assez de voir tes équipes ou toi-même passer son temps à remplir des formulaires ? Tu en as assez de ne pas trouver l’information que tu cherches dans ton entreprise ? Ça tombe bien car c’est à cela que va servir ton système de management ? Kezako ? C’est ton simplement ton cadre de gouvernance de la sécurité qui va te permettre de disposer par exemple d’un document type à transmettre à tout tes clients (fini les formulaires). Cela va également structurer ton information au sein de ton entreprise, tu vas disposer d’indicateurs précis pour maitriser ta sécurité, maitriser tes risques. Et plus que tout : Tu vas inspirer confiance !
ISO, ISAE, SOC quelle différences ?
Les différences sont subtiles car elles traitent finalement de la même thématique, ce qui les différenciera est leur territorialité. Là encore tu devras faire appel à un sens aigu de l’analyse de ton portefeuille client. Attention ce qui suit n’est qu’une humble opinion, toute chose demeurant égale par ailleurs (je ne sais pas ce que ça veut dire mais c’est classe).
Ta cible concerne les entreprises françaises et européennes dans un premier temps ? Dans ce cas la norme ISO est celle qui t’ouvrira le plus de portes.
Ton marché est nord-américain (USA, Canada) ? Mise sur SOC1 & SOC2 ou encore ISAE3402 !
Bien que ces normes soient mondiales et en certains points similaires, elles n’ont pas pour autant la même portée. La norme ISO étant à ce jour celle qui est reconnue à travers le monde (USA compris) là où les normes américaines ont une portée très orientée sur leur marché intérieur.
Une bonne nouvelle cependant, ces normes sont cumulatives ! on peut tout à fait commencer par une certification ISO puis enchainer sur d’autres référentiels.
Quels seront les impacts pour mon organisation ?
L’impact (si tant est que le terme soit approprié) dépendra complètement du niveau de maturité initial de ton organisation. Si la sécurité et la conformité sont synonymes pour toi de contraintes et de ralentissement dans les processus, alors il y’a fort à parier que ta boite soit à mon image (oui les entrepreneurs ont de l’égo…).
Si à l’inverse, cette dimension est stratégique pour ton entreprise, tu pars avec beaucoup plus de chances.
Dimension ?
Oui dimension, car c’est bien de cela dont il s’agit. C’est avant tout un état d’esprit à imprimer dans l’organisation. La sécurité deviendra ta collègue indispensable à chaque prise de décision. Elle doit imprimer sa marque au quotidien à tous les échelons de l’entreprise mais avec une contrainte majeure : Elle ne doit jamais et sous aucun prétexte desservir les intérêts de l’organisation qu’elle défend.
Mais en plus de cette nouvelle collègue invisible, de nouveaux interlocuteurs vont apparaitre dans ta « boate »
Le DPO, monsieur données personnelles, il peut être interne ou externe à ton organisation, et son job est de s’assurer que si la CNIL débarque ils repartent avec le sourire.
Le RSSI ou responsable de la sécurité, il sera le chef d’orchestre des mesures de sécurité, le rempart.
Rassurez-vous, une fois vaccinés ils sont tout à fait dociles mais surtout ils seront indispensables pour assurer la gouvernance de la sécurité et de la conformité au quotidien.
Et ça prend du temps ?
Là encore les réponses dépendront du niveau d’appropriation de ta boite. Si certains processus sont complètement nouveaux, il faudra prévoir une période de transition et d’accompagnement des ressources. Ces « collabs » si cher au cœur de nos board, vont devoir mettre en œuvre un certain nombre de nouvelles initiatives, et spoiler alert : ils ne sont pas devins. Cela s’apprend.
La formation ne doit pas être mise de côté, bien au contraire elle est un facteur clé de succès.
L’unité de mesure se compte en mois entre le début d’un projet et le premier cycle de certification.
Et combien cela coute-t-il ?
Bonne nouvelle, j’ai une réponse très précise pour cela, je suis d’autant plus heureux de te donner ce prix, qu’il est le résultat d’une analyse très précise de la situation que nous rencontrons chez nos clients ;
Tu es prêt ? Cela te coutera exactement le montant que tu auras décidé d’y consacrer. #OMF*
De ce point de vue, nous rencontrons de vraies différences, même entre acteurs de taille similaire et de surcroit concurrents. Certaines organisations accordant une part importante à cet axe de conformité/sécurité pour en faire un levier stratégique de croissance. D’autre à l’inverse, sont dans une démarche réactive, visant à protéger le patrimoine ou répondre à des exigences de clients, sans pour autant développer commercialement cet axe.
Toutefois, cet univers n’étant pas toujours simple a appréhender il est tout à normal de se faire conseiller
Il existe 2 types d’interlocuteurs à qui vous pouvez vous adresser (le beau-frère du réveillon #quibossedanslinformatique ne compte pas) :
Les organismes de certification qui procède aux audits annuels et délivre les certificats.
Les cabinets de conseil experts qui t’aideront dans la mise en œuvre et dans la compréhension des exigences.