Protection des données ? Bien sûr !

La certification ISO 27001, dont bénéficie FAIRTIQ, confirme son engagement permanent en faveur de la sécurité de l’information.

FAIRTIQ accorde une priorité absolue à la protection et à la sécurité des données. Le fait que nous répondons aux exigences actuelles en la matière vient d’être officiellement confirmé : depuis le 08.12.2023, FAIRTIQ est certifié ISO 27001:2013, reconnue au niveau international. Dans l’interview qui suit, Manuel Jeckelmann, responsable de la sécurité de l’information (CISO) et chef de la sécurité chez FAIRTIQ, explique ce que représente une telle certification pour FAIRTIQ, le déroulement de la procédure et les perspectives d’avenir dans le domaine de la sécurité des données et de l’information.

FAIRTIQ: Qu'est-ce que la norme ISO 27001 et qui en sont les intéressés ?
Manuel Jeckelmann: La norme ISO 27001, norme internationalement reconnue, définit des exigences pour la mise en place et le fonctionnement d’un système de gestion de la sécurité de l’information (SMSI) dûment documenté. L’enquête ISO indique qu’il y avait un total de 36 362 certificats valides dans le monde en 2019. Outre le secteur informatique, ce sont surtout des entreprises du secteur des services, du transport et de la communication qui ont fait l’objet de cette certification.

FAIRTIQ: Qu'est-ce qui a poussé FAIRTIQ à viser la certification ISO 27001 ?
Manuel Jeckelmann: Données et informations sont au cœur de notre activité. Nos partenaires ont confiance dans le fait que nos systèmes de gestion de la sécurité des données et des informations sont à jour et efficaces. Personne n’accorde une telle confiance aveuglément ; au contraire, on attend, à juste titre, une preuve vérifiable. La certification ISO 27001 apporte cette preuve. Pour décrocher cette certification, notre structure de sécurité de l’information a été examinée sous toutes les coutures. Un audit complet, que seuls les organismes officiellement accrédités peuvent effectuer, a servi de base à cette évaluation. La certification de FAIRTIQ a été menée par TÜV Rheinland.

FAIRTIQ: Combien de temps a duré la procédure de certification et comment s’est-elle déroulée ?
Manuel Jeckelmann: L’audit n’a pas seulement porté sur les équipements techniques, mais aussi sur les lignes directrices de l’entreprise et les personnes chargées de les mettre en œuvre. Dans le cadre d’une procédure à plusieurs niveaux, les experts externes ont d’abord évalué le SMSI existant. Ils ont, dans certains cas, formulé des suggestions d’amélioration dont la mise en œuvre a été opérée en cours de procédure. Dans le cas de FAIRTIQ, la procédure de certification a duré un an au total. Nous sommes passés par plusieurs phases plus ou moins intenses et y avons beaucoup appris. Un grand nombre de processus et d’activités clés étaient déjà en place chez FAIRTIQ. Nous avons pu nous appuyer sur ces éléments pour optimiser encore notre SMSI.

FAIRTIQ: Qu'est-ce qui a été vérifié, au juste, dans le cadre de l’audit ?
Manuel Jeckelmann: En principe, trois critères sont appliqués lors de l’audit pour vérifier le SMSI : premièrement, il faut garantir la confidentialité des données. Cela signifie que seules les personnes autorisées y ont accès. Le deuxième critère est l’intégrité des informations. Cela signifie que les données doivent être stockées de manière sûre et fiable et qu’elles ne peuvent être modifiées, endommagées ou supprimées par inadvertance. Le troisième et dernier critère est la disponibilité, c’est-à-dire la possibilité pour nous et nos client·es d’accéder en permanence et de manière fiable aux données nécessaires et d’éviter toute interruption de service, que ce soit en raison de problèmes de serveur, de piratages ou de sauvegardes défectueuses.

FAIRTIQ: La certification ISO 27001 signifie-t-elle que FAIRTIQ est désormais plus sûr ?
Manuel Jeckelmann: Il va sans dire que FAIRTIQ disposait déjà d’un solide système de gestion des risques avant l’application de la norme ISO 27001. Pendant la procédure de certification, nous nous sommes concentrés sur la mise en conformité avec la norme ISO et sur l’amélioration de notre gestion des risques. Nous avons ainsi réussi à rendre nos processus plus cohérents, plus structurés et davantage fondés sur des preuves.

FAIRTIQ: Que signifie la certification de FAIRTIQ pour nos partenaires et nos client·es ?
Manuel Jeckelmann: La certification permet à nos partenaires de savoir que nous disposons d’un système cohérent et opérationnel dans lequel la technique, les processus et les collaborateur·trices travaillent de manière optimale en synergie, en vue de minimiser les risques pour la sécurité des données. Nous protégeons ainsi efficacement les données et les informations, qui sont souvent considérées, à juste titre, comme « l’or de l’ère numérique ».

FAIRTIQ: Maintenant que FAIRTIQ est certifié ISO, la question de la sécurité peut être classée, n’est-ce pas ? Plus sérieusement, quels sont vos projets pour l’avenir ?
Manuel Jeckelmann: Dans le secteur des données, on dit que « conformité ne signifie pas forcément sécurité ». En d’autres termes, la certification est un jalon important sur la voie de l’optimisation des processus de sécurité, mais ce n’est pas une raison pour déclarer que la question de la sécurité est réglée. Nous savons que nous devons toujours développer et améliorer nos mécanismes de sécurité. C’est la seule façon pour nous de suivre l’évolution de FAIRTIQ en tant qu’entreprise et les innovations en matière de produits et d’applications du point de vue de la sécurité. Parallèlement, nous répondons aux attentes de nos client·es et partenaires. L’optimisation et le développement continus vont également dans le sens de la norme ISO 27001, dont les standards sont en cours d’actualisation. Notre certification actuelle est valable jusqu’à fin 2026, après quoi une nouvelle norme ISO sera mise en place, et la conformité de FAIRTIQ sera donc vérifiée par un audit de transition. Le processus d’accompagnement avec d’autres audits périodiques nous aide à maintenir notre engagement pour la sécurité de l’information de manière bien visible pour tout le monde.

FAIRTIQ: Quel point vous apporte le plus de fierté lorsque vous repensez à la procédure de certification ?
Manuel Jeckelmann: La certification a été un travail d’équipe, réalisé par tous les collaborateur·trices de FAIRTIQ. Même dans les activités quotidiennes, la protection et la sécurité des données sont des tâches collectives qui ne sont pas uniquement prises en charge par l’équipe de sécurité, mais qui concernent tout le monde. Je suis également fier que nous ayons réussi à entretenir la motivation tout au long de la période de certification. Car, en toute honnêteté, un audit comporte des « exercices obligatoires » qui ne suscitent pas que de l’enthousiasme, comme par exemple la lecture de nouveaux règlements. Nous avons également réussi à garder le matériel de l’audit léger et pertinent. Nous avons ainsi produit des résultats concrets, et non pas de nouvelles montagnes de papier.