Tout savoir de notre système de gestion de la sécurité de l'information

ISMS_750x250

La sécurité de l'information est primordiale pour notre réputation et celle de nos clients. La plateforme de collaboration Brainloop est développée conformément aux normes les plus strictes en matière de confidentialité des données, incluant notamment celles du RGPD. Le concept de sécurité commence chez Brainloop en amont de l’élaboration de notre logiciel. Il comporte des mécanismes de sécurité technique, des processus sécurisés et des mesures organisationnelles au sein de l'entreprise, des éléments clés pour l’accès au serveur et les mises à jour logicielles, car de nombreux problèmes peuvent survenir à ces étapes. Des politiques sont également mises en place pour stipuler comment les employés doivent travailler avec des données personnelles ou confidentielles. Brainloop est déjà très engagé dans cette démarche avec ses certifications de profil de protection des données ISO 27001, ISAE 3402 et Trusted Cloud. Mais le fondement de tous les processus reste le système de gestion de la sécurité de l’information (Information security management system ou ISMS) appliqué en interne.

Le concept ISMS

Le système ISMS est essentiellement un ensemble de procédures et de règles garantissant la sécurité des informations au sein d'une entreprise. Le système ISMS de Brainloop est axé sur les processus, quant à la sécurité de l’information, celle-ci est mise en œuvre conformément au cycle PDCA (plan-do-check-act). La planification est la première étape ce qui implique que les entreprises formulent leurs objectifs et définissent leurs mesures, qui sont ensuite mises en œuvre dans la deuxième phase – « Do » - via une série de processus ou de projets. Au cours de la 3ème phase, celle de contrôle, les entreprises analysent les effets des mesures appliquées. Cette phase est cruciale pour décider si les mesures définies doivent être établies en tant que nouvelles normes, modifiées ou annulées. Dans la dernière phase, « Act », les stratégies décidées sont mises en production, utilisées sur une certaine période, puis vérifiées à nouveau. S'il s'avère que des améliorations sont encore possibles, les modifications sont mises en œuvre et le cycle recommence depuis le début. De cette manière, l'ensemble du processus fait l'objet d'une optimisation continue.

L’ISMS appliqué à Brainloop

Les équipes Brainloop ont défini divers éléments de sécurité à différents niveaux. Au niveau le plus élevé se trouve la gouvernance pour lequel il existe un certain nombre de politiques - une politique de sécurité de l’information, une politique de classification des informations et une politique d’entreprise. Cette stratégie garantit la conformité aux principaux objectifs de sécurité, notamment la confidentialité, l'intégrité et la disponibilité des informations. Elle stipule également que les données ne doivent être accessibles qu'aux utilisateurs autorisés, qu'elles ne peuvent pas être modifiées et qu'elles doivent être techniquement disponibles à tout moment.

Au niveau juste en dessous, Brainloop identifie d'autres stratégies, notamment celle appliquée à la sécurité physique, la stratégie de réseau sécurisé et enfin la stratégie d'opérations sécurisées. Cette dernière régit le fonctionnement sécurisé de la plateforme SaaS et comprend de nombreux aspects, de la planification aux tests en passant par les opérations en direct. Elle couvre ainsi la planification des tests et des versions, le concept de sauvegarde et le processus de gestion des modifications.

Les éléments de sécurité sont basés sur des procédures et des concepts standardisés pour assurer la sécurité des informations. Ils peuvent inclure une procédure de libération spécifique, une gestion de clé et des processus de visite prédéterminés. Brainloop sensibilise également le personnel avec des initiatives telles que des cours d’ISMS pour les nouvelles recrues et la participation à un jeu d'ingénierie sociale, qui forme le personnel à la gestion des scénarii d'attaque possibles ciblant des informations sensibles. Brainloop réglemente également l’accès à l’information et sa gestion selon le principe du besoin de savoir, selon lequel chaque employé ne dispose que des accès et des autorisations dont il a réellement besoin pour son travail.

Une équipe dédiée à la sécurité

L’équipe de sécurité de Brainloop est composée d’un RSSI et d’architectes de la sécurité. Le RSSI est responsable de l'ensemble du ISMS, il gère aussi bien la coordination que la mise en œuvre des mesures techniques et organisationnelles intégrales. Il veille à la bonne mise en œuvre de la gestion des clés ainsi que celle de la politique de gestion des identités et des accès. Les architectes de sécurité traitent également les aspects techniques liés au développement de logiciels. Leurs tâches incluent le chiffrement, ainsi que les test du logiciel et de son architecture pour détecter d'éventuelles vulnérabilités afin de l'améliorer continuellement.

Des certifications de sécurité multiples

Les solutions de Brainloop sont certifiées conformes à la norme ISO 27001 depuis 2011. Cette démarche prouve que le système de gestion de l’information garantit les meilleures pratiques pour sécuriser les informations sensibles et améliorer les performances de l’entreprise en matière de sécurité. Lors du processus de certification, le système ISMS est également soumis à des tests conduits par un auditeur formé à la norme ISO 27001 et lui-même certifié par l’autorité nationale de sécurité de l’information (ANSSI en France ou BSI en Allemagne). Cette personne examine les documents de référence, effectue des tests sur site et établit un rapport d'audit. Ce rapport d’audit est ensuite envoyé à l’autorité en charge de la sécurité de l’information et utilisé dans la prise de décision concernant la certification.

La norme ISAE 3402, autre certification obtenue par Brainloop, évalue l’efficacité des systèmes de contrôle interne des fournisseurs de services. Pour certifier la validité de ses services selon la norme, le système de contrôle interne de Brainloop a été testé pendant six mois, puis évalué sur son efficacité.

Brainloop répond également aux exigences du profil Trusted Cloud Data Protection, qui correspond aux dispositions des lois allemandes appliquées vis-à-vis de la protection des données dans le Cloud, et ce depuis que le RGPD est entré en vigueur le 25 mai 2018.

Un angle sécurité avéré

Même si un ISMS a été configuré et mis en œuvre, cela ne signifie pas qu'il fonctionnera toujours de la même manière ou qu’il sera toujours certifié. C’est pourquoi Brainloop applique le cycle PDCA afin de s’assurer que le système ISMS de la société continue de faire ses preuves et qu’il ne cesse de s’améliorer.

Pour ce faire, Brainloop réalise des audits internes annuels impliquant la vérification de la sécurité des informations par des auditeurs internes. Brainloop se soumet également une fois par an à un audit externe mené par un auditeur externe de l'organisme de certification.

Une série de tests d'intrusion volontaires est réalisée par des tiers indépendants pour tester la sécurité de l'application. Ces personnes simulent des attaques ciblées sur les systèmes Brainloop, ce qui permet de détecter d'éventuelles vulnérabilités et de les corriger.

Enfin, la certification ISO exige que tous les contrôles ISO 27001 soient soumis à un nouveau test complet tous les trois ans. Cela garantit un processus d'optimisation permanent pour tous les aspects de la sécurité de l'information chez Brainloop. Enfin, les clients de la société effectuent régulièrement leurs propres audits des systèmes. Ces évaluations sont un autre critère important pour la maturité du concept de sécurité Brainloop.

Vous souhaitez en savoir plus sur le concept de sécurité de Brainloop ? Découvrez l’article présentant notre cycle de vie de développement sécurisé.

 

Ceci pourrait également vous intéresser :

Le stockage Cloud local pour les données critiques de l'entreprise

Avec de multiples offres Cloud, les entreprises doivent choisir une solution adaptée pour ne pas mettre en danger leurs données et rester conformes au RGPD.

Instaurer des catégories de sécurité. A tout niveau

Avec une quantité de documents toujours plus importante, comment les entreprises font elles aujourd’hui pour savoir ce qui est considéré comme confidentiel ou ce qui ne l’est pas ?