Memority certifiée ISO 27001 et ISO 27701

Le matin du 25 décembre, à 10h33, une belle surprise m’attendait sous mon sapin virtuel de CISO. Ce n’était pas complètement une surprise, ni un cadeau proprement dit, même s’il nous a à tous fait plaisir, mais plutôt le résultat de nombreux mois de travail acharné chez Memority. Ce n’était pas non plus le père Noël qui me l’avait déposé, mais l’organisme de certification Certi-Trust.

Dans le paquet se trouvaient deux belles certifications flambant neuves pour Memority :

  • ISO 27001, qui atteste de notre excellence en matière de management de la sécurité de l’information,
  • et, beaucoup plus rare, ISO 27701, qui valide également notre maîtrise du système de management des informations personnelles.

À l’issue de son audit début décembre, notre organisme de certification a confirmé et tamponné que nous étions conforme à ces deux normes. Cette reconnaissance représente une formidable récompense pour l’ensemble du personnel de Memority, qui peut se réjouir de ce résultat obtenu dans les délais promis, notamment à nos clients (avant la fin de l’année 2024).

Grâce à ces certifications, nos clients et partenaires verront leur confiance, déjà solide, en notre capacité à protéger leurs données et leurs actifs, renforcée encore davantage.

Un investissement de taille

L’obtention de ces deux certifications a représenté :

  • un peu plus de 20 mois de projet, de toute mon équipe (en particulier Léa Zerah mais également nos stagiaires Loïck Chagneau, Adrien Barbier, Paul Ledoux et Arthur Teste), accompagnée évidemment par l’ensemble du personnel de Memority ;
  • 341 pages rédigées et publiées dans l’entreprise et à l’extérieur, constituant 9 politiques de sécurité, 11 standards de sécurité, un manuel de gestion de crise (l’un de ces documents en est même à sa 17ème version !) ;
  • 272 pages de documentation, de processus et de suivi sur notre wiki interne ;
  • 1542 instances de contrôle permanent déclenchées ;
  • 2 missions d’audit interne.

En quoi est-ce important ?

Je pense rétrospectivement à une réunion avec des représentants de l’ANSSI il y a quelques mois, où nos interlocuteurs, experts chevronnés de la sécurité offensive, souriaient gentiment à l’évocation d’ISO 27001, rappelant ce qu’on dit régulièrement : être certifié, ne veut pas dire être sécurisé.

Ils ont raison, bien sûr, l’ISO 27001 n’a pas vocation à garantir une sécurité absolue.

Cependant, cette remarque reflète une vision avant tout technique, centrée sur les menaces et les vulnérabilités, là où la norme joue un rôle plus global. L’ISO 27001 ne se contente pas de traiter uniquement des aspects opérationnels. Elle garantit que Memority est structurée, organisée et prête à aborder tous les aspects de la sécurité de l’information avec rigueur, tout en s’engageant dans une dynamique d’amélioration continue.

Les auditeurs ont d’ailleurs été plus loin et ont précisé dans leur rapport un nombre impressionnant de points forts :

  • l’implication du leadership et du management (un comité de direction suivant de très près tous les sujets de sécurité et incluant le CISO parmi ses membres, c’est ça l’implication) ;
  • la compétence des équipes (ils ont aussi remarqué qu’elles étaient sympa, mais on ne peut pas l’écrire il y a forcément une certaine subjectivité) ;
  • la bonne gestion documentaire (dont sa précision et sa contextualisation à l’entreprise : et oui, chez Memority, ce n’est pas ChatGPT qui rédige les politiques de sécurité) ;
  • la gestion des vulnérabilités (je salue chaleureusement nos pilotes sécurité plateforme pour leur implication dans le traitement continu de ce sujet primordial) ;
  • l’approche du développement sécurisé (la certification CSSLP chez nos senior devs, c’est pas juste de la déco) ;
  • le plan de contrôle (domaine pourtant ô combien ingrat) ;
  • la réaction aux non-conformités et l’amélioration continue (quand nos auditeurs arrivaient un matin, des plans d’action pour corriger les remarques de la veille étaient déjà en cours d’exécution, je comprends que ça puisse surprendre).

Un beau projet qui ouvre la voie

C’est donc un beau projet qui s’achève, et nous pouvons en être fiers.

Mais ce n’est qu’un début. Je précisais le mois dernier dans l’édito du « petit serrurier », la newsletter sécurité interne à Memority, qu’obtenir la certification ISO 27001, c’était un peu comme atteindre le niveau 60 dans un jeu de rôle multijoueur en ligne : ce n’est pas un aboutissement mais une première étape, c’est là où tout commence réellement.

Alors, s’il n’y a pas de trêve dans l’espace cyber, nous avons bien mérité de boire une petite coupe de champagne pour fêter notre réussite, puis nous reprendrons notre travail avec le même élan, dans le même état d’esprit, car c’est dans l’ADN de Memority !

Aymeric Berrendonner
Ciso - Memority

Articles récents

Memority et Stellantis : lauréats de la Cybernight 2024 !

Memority et Stellantis remportent le Prix de la co-construction pour leurs projet IAM lors de la Cybernight 2024 !

Les meilleures pratiques IAM pour renforcer la sécurité des entreprises

À l’occasion du Cybermoi/s 2024, nous partageons avec vous les meilleures pratiques IAM pour renforcer la sécurité des entreprises

Des caisses sur une chaine de production, certaines sont conservées, d'autres sont jetées.

Le modèle de rôle #4 : les recertifications

Ce dernier épisode explique comment maintenir les assignations de rôles dans le temps grâce à la recertification