Certification : tous acteurs !

  • Par Clementine CANNAC
  • 9 juillet 2020

Cyriel Claramunt, pilote SMSI chez Thales Services, est en première ligne pour assurer la sécurité informatique de notre entreprise, et accompagne les services dans la préparation des audits de certification ISO27K pendant la phase de collecte des preuves et la préparation des plans d'actions. Elle engage d'ailleurs pendant l'été la collecte des éléments de preuves auprès des équipes et services: réservez-lui le meilleur accueil !

Nous l’avons vu lors d’un précédent article : la crise a été un formidable accélérateur pour la mise en place du télétravail chez Thales Services. La Sécurité des Systèmes d’Information a été sous les feux des projecteurs pendant cette période de crise, étant le garant de l’intégrité de notre système. Cyriel Claramunt, pilote SMSI chez Thales Services, travaille au sein de l’équipe SSI et nous partage ses actions terrain à nos côtés.

 

Préparer les audits et accompagner les plans d’action

« Tout commence avec un audit SI », dit-elle. Les écarts d’audit sur un périmètre donné sont classés suivant le risque qu’ils représentent pour Thales Services ; soit en non-conformités pour les plus dangereuses, soit en points d’attention et finalement en axes d’amélioration. De ces derniers découle la feuille de route pour améliorer la sécurité de notre Système d’Information. Nous nous appuyons pour cela sur des normes :

En 2019, le Système de Management de la Sécurité de Thales Services a décroché une certification d'Hébergeur de Données de Santé (HDS). En 2020, l'ambition est d'élargir notre certification au développement forfaitaire."

A partir des conclusions de cet audit, nos équipes SSI et les équipes métiers travaillent ensemble pour mettre en place les actions de remédiation nécessaires « et ainsi réduire notre exposition aux risques Cyber », précise Cyriel. Ce travail d’analyse et d’accompagnement est réalisé auprès des équipes infogérance aujourd’hui, et se met progressivement en place auprès du développement logiciel notamment avec l’intégration de trois projets pilotes candidats à une labellisation : Orange à Bordeaux et Rennes, CNES et TMA à Toulouse Labège.

Les projets soumettent des propositions de solutions aux risques identifiés pour répondre aux non conformités et aux actions. « De notre côté, nous suivons la mise en place de ces solutions en relançant parfois les acteurs concernés, nous adoptons une posture de conseil et sommes force de proposition auprès des métiers ». Quelques exemples d’actions mises en place :

  • La vérification auprès des équipes d’infogérance que les Plans de Reprise d’Activité sont bien fonctionnels (tests, mise en place de nouvelles solutions en cas de difficultés). « Pendant la phase du COVID, nous avons pu tester la mise en œuvre de solutions de secours, et notamment vérifier le fonctionnement des sauvegardes mises en place, la suppression effective des comptes utilisateurs et des accès des collaborateurs qui ont quitté l’entreprise … des choses simples mais essentielles » ;
  • La sécurisation des machines virtuelles des projets de développement logiciel : antivirus, règles de sécurité en matière d’accès internet, mise à disposition de formations adaptées pour chaque projet en fonction de leur client et de ses spécificités ;
  • Le suivi de sensibilisations sur un sujet donné, auprès de tout ou partie des collaborateurs afin de conserver notre certification; un quiz sur les règles d’or est en cours (le Passeport SSI va suivre … si vous ne l’avez par encore fait, c’est par ici !) ;
  • La diffusion continue d’informations sur les menaces, les virus, les mesures de sécurité qui sont mises en place, les politiques de mots de passe sur l’espace Confluence de la SSI.
Nous sommes tous acteurs de la sécurité, il appartient à chacun d’entre nous de rester informé et vigilant !"

 

Suivre régulièrement l’application des PSSI : tous concernés !

L’autre pilier de l’activité de la SSI réside dans le suivi de l’application par tous des Politiques de Sécurité des Systèmes d’Information. « Il s’agit d’une activité de contrôle permanent et cyclique, réalisée sur un échantillonnage représentatif qui validera la bonne intégration des mesures de sécurité dans les opérations courantes » : achats, ressources humaines, développeurs, administrateurs, qualité, … tous les collaborateurs peuvent être amenés à fournir des éléments de preuves, essentielles pour le renouvellement des certifications de Thales Services.

Nos clients sont en attente de ces certifications pour déclencher de nouveaux contrats : ils souhaitent s’assurer que nous sommes en capacité de gérer notre sécurité conformément à des normes reconnues comme l’ISO27 avant de nous confier leurs projets"

 

Un enjeu business très important.

Initialement, cette activité de suivi était essentiellement manuelle et basée sur des fichiers Excel. Aujourd’hui, l’équipe SSI s’est dotée de nouveaux outils pour dynamiser cette démarche de suivi des actions et des contrôles avec JIRA, et ce de manière centralisée. « Très prochainement, chaque personne qui possèdera une action à son nom sera notifiée, pourra relancer les équipes s’il a besoin d’accompagnement, et poussera les preuves nécessaires par TOL pour justifier la mise en conformité ». Cet outillage est en phase de fin de tests et devrait être disponible au cours de l’été.

 

Le saviez-vous ?

L’équipe SSI profite de la période estivale, naturellement plus calme, pour récolter tous les éléments de preuve nécessaires à la certification, qui existent déjà côté opérationnel. Faites-leur bon accueil !

La période est également propice aux cahiers de vacances… La SSI vous propose :