Empowill obtient l’ISO 27001 : une norme de référence en matière de sécurité des données

Lorsque l’on parle de sécurité informatique, le paysage peut sembler complexe, entre réglementations, normes et certifications multiples. Mais parmi toutes, l’ISO 27001 s’impose comme la norme de référence internationale pour la gestion de la sécurité de l’information. C’est une certification qu’Empowill est fier d’avoir obtenu pour son logiciel RH ! On vous explique pourquoi.

Comprendre cette norme dédiée à la protection des données sensibles

Concrètement, l’ISO 27001 est une norme publiée par l’Organisation internationale de normalisation (ISO). Elle définit les exigences pour mettre en place un système de management de la sécurité de l'information (SMSI). Son objectif : garantir la confidentialité, l’intégrité et la disponibilité des données, qu’elles soient numériques ou physiques. 

En clair, cette certification atteste que l’entreprise stocke ses données “en lieu sûr” et est en capacité de garantir l’accessibilité des données de ses clients en cas problèmes (ex : incident serveur, cyberattaque…). L’entreprise certifiée ISO 270001 régule aussi strictement l’accès aux données par le biais d’autorisations accordées à certains utilisateurs, de mesures de protection de ses outils et infrastructures, etc.

Parce que la première faille de cybersécurité vient de l’humain, l’ISO 27001 concerne en réalité l’ensemble des processus internes d’une organisation : de la gestion des accès aux outils utilisés, en passant par la formation des collaborateurs et la gestion des incidents de sécurité. 

Les mesures prises pour la protection des données sont bien plus larges que ce que l’on peut imaginer. Protéger les ports USB des ordinateurs, entraîner ses collaborateurs à réagir aux tentatives de phishing sont des actes aussi importants que la sécurisation de serveurs pour garantir la protection des données de ses clients.

Quelle différence avec d’autres normes de sécurité ?

Il existe d’autres référentiels ou standards autour de la cybersécurité (RGPD, ISO 9001, SOC 2…). Mais l’ISO 27001 se distingue sur plusieurs points :

• Elle est globale et structurante : là où certains cadres (comme le RGPD) se concentrent sur la conformité légale, l’ISO 27001 couvre l’ensemble de l’organisation et implique toutes les parties prenantes (services informatiques, fournisseurs de services, partenaires, mais aussi collaborateurs !).

Dans certaines entreprises certifiées ISO 27001, on effectue même des vérifications d’antécédents des collaborateurs pour valider l’authenticité de leurs compétences et éviter les risques d’espionnage industriel. Chez Empowill, nous nous appuyons sur nos référentiels de compétences pour apporter toute la transparence nécessaire vis-à-vis des compétences de nos collaborateurs et appliquons systématiquement une logique de prise de références lors du recrutement.

• Elle est vérifiée par un audit indépendant : obtenir la certification implique un audit rigoureux mené par un organisme accrédité. Ce n’est pas une simple auto-déclaration. Ce n’est pas non plus une certification accordée à vie. Chaque année, un nouvel audit a lieu pour s’assurer que l’entreprise est toujours éligible à l’ISO 27001.
  
  
• D’ailleurs, cette certification repose sur une logique d’amélioration continue : contrairement à d’autres démarches ponctuelles, l’ISO 27001 demande un pilotage régulier, des contrôles internes et une vraie dynamique de progression.‍

Au moment de l’audit, une analyse de risques est réalisée. Elle recense l’ensemble des risques existants et les classe selon la probabilité que ces risques se produisent, et les croisent avec leur gravité. L’entreprise est donc tenue de mettre en place des mesures de progression pour réduire la probabilité ou la gravité de ces risques. La réattribution de l’ISO 27001 d’une année à l’autre est alors actée en fonction de l’évolution de cette analyse de risque.

Les coulisses de l’ISO 27001 chez Empowill, éditeur de logiciel RH 

Chez Empowill, on aime le concret. C’est pour cette raison que nos équipes travaillent continuellement et depuis plusieurs années à améliorer leurs pratiques, leurs techniques et leurs outils.

L’obtention de la certification ISO 27001 est un travail de longue haleine, mais surtout un gage de rigueur et de constance dans la qualité de nos services que nous aspirons à mettre en lumière. Plus que des mots, nous nous engageons à agir pour impacter positivement le quotidien des entreprises que nous accompagnons !

L’ISO 27001 comme gage d’engagement supplémentaire

Parce qu’une relation de confiance se bâtit sur le long terme et s’entretient au quotidien, nous nous surpassons jour après jour pour répondre à toutes les attentes de nos clients RH. 

Par l’ensemble de nos processus, nous sécurisons notre logiciel RH et tout notre écosystème pour assurer à nos clients que leurs données et celles de leurs collaborateurs sont entre de bonnes mains et répondent aux normes les plus exigeantes.

L’ISO 27001 est également un signal fort que nous envoyons à nos partenaires, elle formalise nos engagements en une véritable garantie de maturité organisationnelle et de fiabilité sur le long terme.

La certification ISO 27001 impose de vérifier que tous nos sous-traitants appliquent un haut niveau d’exigence en matière de sécurité. Chez Empowill, on est donc fiers et 100% en confiance avec l’ensemble de nos partenaires et de nos fournisseurs de services.

Enfin, pour notre équipe de Willers, c’est une reconnaissance de la rigueur et des bonnes pratiques mises en œuvre au quotidien.

L’engagement chez Empowill n’est pas que verbal, mais bien tangible, grâce à la définition de SLA (Service-Level Agreement). Par exemple, nous garantissons contractuellement la disponibilité du logiciel RH Empowill à 99,95%. Nous déployons l’ensemble des moyens nécessaires pour assurer la fiabilité de nos services et la protection de vos données.

Toujours plus d’exigence technique dans nos développements

Les enjeux RH, notamment lorsqu'ils concernent les logiciels SIRH, se croisent souvent avec ceux de votre DSI. Nous appliquons donc dans nos développements des méthodes et procédés de pointe pour assurer la sécurité des informations que vous nous confiez, et ce, comme s’il s’agissait des nôtres.

Quelques exemples dont vous pouvez parler à votre Direction des Systèmes d’Information :

• Anti-DDoS : nous déployons un système qui protège notre serveur contre les attaques de type "DDoS" (ce sont des attaques massives qui visent à saturer un serveur pour le mettre hors service). En d’autres termes, nous mettons en place un bouclier qui filtre le trafic inutile sur notre logiciel pour que vous puissiez profiter de la pleine puissance de ses fonctionnalités.
• Firewall : imaginez un gardien qui contrôle les entrées et sorties d’un réseau ou d’un ordinateur. Nous bloquons ainsi tout ce qui est suspect et pour ne laisser entrer sur nos ordinateurs et serveurs que ce qui est autorisé. C’est l’une des garanties qu’aucune menace n’atteigne vos données !
• Systèmes de throttling et d’autoban : ce sont des garde-fou qui ralentissent tantôt le nombre de requêtes d’un utilisateur pour éviter de sur-solliciter notre serveur (et donc éviter les lenteurs), et tantôt bloquent les utilisateurs qui ont un comportement suspicieux ou dit de “spammeur”.
• Stratégie de sauvegarde chiffrée : voyez cela comme un plan organisé pour copier régulièrement les données importantes, en les chiffrant (c’est-à-dire en les transformant en données illisibles sans clé) afin qu’elles restent protégées même si quelqu’un y accède.
• Redondance des données : chez Empowill, nos données sont toujours stockées en France, mais jamais sur un seul serveur ! Elles existent parallèlement sur plusieurs datacenters distincts et éloignés. L’avantage ? En cas d'incendie par exemple, vos données sont préservées par un autre serveur qui prend le relais, et qui garantit la continuité du fonctionnement du logiciel.

Pourquoi c’est si important de choisir un prestataire certifié ISO 27001 ?

En tant que DRH, vous êtes le garant de la sécurité des données. Votre CODIR place de lourdes attentes sur vos épaules que vous ne pouvez pas vraiment porter seul.e : il vous faut un prestataire infaillible pour vous accompagner et vous aider à protéger l’ensemble des informations sensibles dont vous avez la responsabilité.

Travailler avec un éditeur de logiciel RH certifié ISO 27001, c’est aussi faire preuve d’un haut degré d’exigence pour vous aligner avec les enjeux de votre DSI et simplifier son travail.

Plus encore, le choix d’un prestataire de solution RH certifié ISO 27001 vous assure plus qu’avec n’importe quel autre prestataire une continuité de service qui garantit la pérennité de vos activités et processus RH.

C’est aussi une manière de garder toujours un temps d’avance, de rester dans l’anticipation et ne pas subir des situations à risque : un prestataire certifié ISO 270001 a une forte capacité (avérée) à anticiper, identifier et atténuer les menaces qui pèsent sur la sécurité de l’information.

Checklist des points de sécurité à vérifier avant de choisir son logiciel RH 

Vous êtes RH, pas expert de la sécurité informatique, alors pour vous aider à sélectionner un logiciel RH qui fera l’unanimité auprès de votre DSI, voici une liste de questions à poser à votre futur prestataire : 

• Êtes-vous certifié ISO 27001 ? 
• Respectez-vous les normes en matière de sécurité des données ? Pouvez-vous me préciser lesquelles et comment vous procédez ?
• Où sont hébergées les données et quelles sont les garanties RGPD ?
• Comment sont assurés la confidentialité et la réversibilité des données à la fin du contrat (extraction, format, accompagnement, coûts) ?
• Quelles sont les ressources mobilisées pour accompagner le déploiement du logiciel en toute sécurité ?

L’avis d’expert Empowill 💡 : pensez aussi à bien lire le contrat avant signature et en particulier la clause de responsabilité, afin de vérifier qui porte les pénalités en cas d’incident, comme une fuite de données. Cela peut être capital en cas d’amende par la CNIL par exemple.