Le webinaire ISO 27001 animé par Etienne LAZARZ, GRC Project Manager chez MyTower, accompagné de Nicolas MOTTE, Head of GRC Services chez Lyvoc, et Ben RENAUDINEAU, Account Executive chez Drata.
Contexte et réalisation du projet ISO
Le projet de mise en conformité ISO a démarré en juin 2024. Dès le départ, nous avons été confrontés à un manque de connaissances internes sur le sujet, hormis quelques formations ponctuelles reçues par les équipes de développement. Il n’existait à ce moment-là aucune formation spécifique sur la sécurité, et même si quelques bonnes pratiques étaient déjà en place sur le plan technique, notamment sur le cloud, le principal défi résidait dans les délais imposés : la conformité devait être atteinte avant la fin de l’année 2024, une exigence d’autant plus forte que nos clients attendent une rigueur absolue sur l’ISO.
La première étape a donc consisté à trouver un partenaire externe capable de nous accompagner. Grâce à notre réseau, et à l’appui de partenaires comme Live ainsi que des auditeurs spécialisés dans la gestion des risques et les audits de certification, nous avons rapidement pu collecter les données nécessaires. Cela nous a permis de lancer concrètement le projet en seulement deux semaines, un gain de temps précieux qui a également permis de réduire les coûts.
Dès le mois d’août 2024, pendant la période des congés, nous avons pu procéder à l’évaluation des risques et à l’élaboration du plan de traitement. L’objectif était de relier chaque risque identifié aux contrôles de la plateforme de données.
La seconde phase a porté sur la revue des politiques internes, des contrôles, et la gestion des plaintes, le tout réalisé simultanément. Ce travail multitâche s’est révélé particulièrement intense, compte tenu des deadlines imposées.
La rédaction des politiques s’est étalée sur quatre mois, à partir de modèles et de données collectées. Repartir de zéro sur ce type de projet représente un véritable défi, mais le fait d’avoir des modèles comme base de travail a constitué un atout majeur.
Enfin, il est important de souligner que la gestion des contrôles est un processus continu : il y a toujours des éléments à ajuster pour rester conforme aux exigences des audits. C’est un travail d’équipe de long terme, mobilisant l’ensemble du personnel.
Finalisation du projet : Mise en place des procédures et préparation aux audits
La dernière étape du projet a consisté à examiner et formaliser les procédures internes, une tâche essentielle qui aurait idéalement dû être anticipée, mais qui s’est imposée naturellement avec la préparation des audits.
Nous avons ainsi mis en place les SOP (Standard Operating Procedures), ou procédures d’exploitation normalisées. Ces SOP décrivent de manière précise le flux de travail interne chez MyTower, et sont généralement le deuxième point analysé par les auditeurs après l’audit des politiques de sécurité. L’objectif est double : démontrer que les procédures existent et qu’elles sont effectivement appliquées au quotidien.
Ce travail, bien que continu par nature, a pu être structuré efficacement : la première version des procédures a été élaborée en deux à trois semaines, avec l’aide précieuse de nos partenaires Lyvoc et Drata. Ils nous ont accompagnés dans la construction des SOP, dans l’interview du personnel, et dans la préparation de l’ensemble de la documentation nécessaire pour l’audit.
Les audits : un processus par étapes
Un audit interne a été réalisé à mi-parcours, en décembre 2024, suivi de l’audit de certification en deux phases : une première fin décembre, puis une seconde en janvier 2025.
Il est crucial d’anticiper le choix des auditeurs. Nous avons commencé à chercher des profils dès septembre, afin de nous assurer qu’ils correspondaient à nos besoins, qu’ils seraient disponibles, et qu’ils maîtrisaient les spécificités de notre secteur et de notre projet.
La plateforme de données que nous utilisons nous a également grandement aidés, notamment en ce qui concerne les alertes, les contrôles et les vérifications liés au système d’information. Cela nous a permis d’aligner nos pratiques sur le cadre de conformité attendu tout au long de l’année.
Facteurs clés de réussite
Pour résumer les éléments déterminants du projet, plusieurs points ressortent :
- La gestion du multitâche a été essentielle : la conduite simultanée de la rédaction des politiques, des procédures, du plan de traitement et des audits représentait un défi quotidien.
- L’utilisation d’outils comme Drata et Lyvoc a clairement permis de structurer le travail, d’automatiser une partie des contrôles et de centraliser la documentation.
- L’engagement de la direction générale a été le facteur de succès numéro un. Obtenir une certification ISO en six à sept mois n’est pas envisageable sans un soutien fort et constant du top management.
- La mobilisation du personnel a également été déterminante, notamment pour la rédaction des procédures et politiques, mais aussi pour veiller à la conformité technique (par exemple, en s’assurant que chaque poste de travail était prêt et conforme avant l’audit).
- Enfin, le choix des auditeurs est stratégique : tous ne procèdent pas de la même façon, certains attachent plus d’importance à certaines normes ou à la structure documentaire. Il est donc indispensable de bien les sélectionner en amont.
