Premier acteur de l’Union Européenne à obtenir la certification ISO 27001 sur les services DSP2, l’entreprise Linxo Connect a matérialisé sa volonté de tendre vers un maximum de sécurité.
Cette norme internationale définit les normes et exigences relatives au management de la sécurité des informations. Concrètement, c’est une certification qui vise à sécuriser le système d’information, en définissant des plans d’actions pour anticiper et traiter efficacement les risques liés à la sécurité. Pour en savoir plus sur cette certification, comprendre ce qu’elle représente et son intérêt, nous vous invitons à consulter notre article dédié.
Linxo Connect est certifié ISO 27001 depuis 2020. Pourquoi avoir entamé cette démarche de certification ? Quels en sont aujourd’hui les impacts ?
Une certification issue d’un engagement fort autour des questions de sécurité
Se faire certifier ISO 27001 demande un investissement important en termes de “temps humain”. Cela est uniquement rendu possible s’il existe une volonté forte des plus hauts organes de direction. Chez Linxo, les deux dirigeants Bruno Van Haetsdaele et Hugues Pisapia, présentent deux profils techniques qui les rendent sensibles aux enjeux de la protection des données. La démarche de certification est donc née de cette volonté d’exemplarité sur les notions de sécurité.
La définition d’une stratégie claire pour la protection du système d’information
Un établissement qui souhaite se faire certifier doit mettre en place de nombreux systèmes. Linxo a la particularité d’avoir eu comme premiers clients des acteurs très exigeants sur le marché en termes de sécurité des données (comme, à titre d’exemples, des organismes bancaires tels que HSBC, Crédit Agricole…). Ces partenariats ont impliqué de mettre en place des syst§mes de sécurité bien avant de se faire certifier.
Par ailleurs, dans le cadre de cette certification, il a été nécessaire de structurer et documenter certains processus comme :
- Un processus de veille technologique : l’objectif étant de ne pas subir les évolutions technologiques (Security watch, gestion des vulnérabilités techniques et de l’obsolescence des process) ;
- L’homogénéisation du processus de gestion des incidents : la définition d’un processus identique pour l’ensemble des partenaires permet d’être plus performant et d’avoir une réponse plus structurée ;
- Le renforcement de la connaissance des ressources humaines : le but étant de s’outiller pour mieux vérifier les antécédents des collaborateurs.
Chacun des processus est défini en tenant compte des attentes des parties intéressées, c’est-à-dire de nos utilisateurs, clients, collaborateurs, partenaires, fournisseurs, et actionnaires. Linxo a donc structuré un ensemble d’actions efficaces pour anticiper les risques, assurer un service continue et de qualité, et pouvoir prendre des mesures dans les plus brefs délais en cas d’incident.
En interne, une mobilisation de l’ensemble de l’entreprise
En interne, il existe un organe de pilotage de la sécurité avec des référents et des experts sécurité, mais pour un management de la sécurité efficace, l’ensemble des collaborateurs doit être impliqué et se sentir concerné. La sensibilisation, la formation et l’accompagnement sont des points fondamentaux pour une mobilisation des équipes autour d’un projet commun. Les règles et exigences doivent être définies et claires pour tous.
Une des règle substantielle relative à cette norme citée par Thomas Gousseau, Directeur Risques et Contrôle Interne chez Linxo: “on fait ce que l’on dit et on dit ce que l’on fait.” L’engagement de transparence est très fort au sein de l’entreprise. Il s’agit de documenter et respecter les normes et procédures dès le développement et la conception des produits.
Les audits et tests de sécurité s’inscrivent dans le processus d’amélioration continue
L’entreprise certifiée ISO 27001 s’engage à faire des tests de sécurité régulièrement et à implémenter les résultats de ces tests. Depuis 2018, date à laquelle Linxo a entamé la démarche de certification, des audits et tests de pénétration sont réalisés à minima chaque année.
Linxo Connect a dernièrement fait auditer ses nouveaux services (Payments, Accounts (Direct Accounts API) et Insights) par un cabinet de conseil reconnu au niveau mondial. Il existe 4 catégories de risques : mineurs, modérés, majeurs ou critiques. Depuis sa certification, Linxo n’a jamais eu de non-conformité critique en termes de sécurité. La sécurité a bien été implémentée dès la conception des produits, comme le veut la norme (approche Secure by design), les processus de conception sont maîtrisés.
En s’étant fait certifier ISO 27001, Linxo est entré dans un cycle d’amélioration continue autour des questions relatives au management de la sécurité de son système d’informations. Un certain nombre de mesures ont été mises en place pour préserver la confidentialité, l’intégrité et la disponibilité de l’information au sein de l’entreprise. La certification ISO 27001 représente un engagement de transparence vis-à-vis de l’ensemble de nos partenaires, et une exigence forte pour assurer une réactivité optimale en cas d’incident.
