Certification HDS et ISO 27001 : retour d’expérience par Kiwi Backup
Kiwi Backup a obtenu la certification HDS (hébergement données de santé) et la certification ISO 27001 en janvier 2020. Elle atteste notre capacité à développer le logiciel Kiwi Santé et à assurer l'infogérance des serveurs tout en respectant un ensemble de règles de sécurité.
La solution de sauvegarde de données de santé (Kiwi Santé) est certifiée sur les activités suivantes :
- Activité 3: La mise à disposition et le maintien en condition opérationnelle de la plateforme d’hébergement d’applications du système d’information ;
- Activité 4: La mise à disposition et le maintien en condition opérationnelle de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ;
- Activité 5: L’administration et l’exploitation du système d’information contenant les données de santé ;
- Activité 6 : La sauvegarde de données de santé.
Après plus d'un an de travail, cette certification récompense les efforts de l'ensemble de l'équipe qui a participé à la mise en place des procédures et plus particulièrement du SMSI (système de management de la sécurité des informations). Nous avons demandé à chaque membre de donner son retour sur l'ensemble de la préparation mais aussi sur les changements qu'a apportés la certification.
Quel a été votre rôle dans la préparation de la certification ?
Céline - Responsable certification :
Lorsque la décision de faire certifier Kiwi Santé a été prise en avril 2018, j'ai commencé par lire la norme ISO 27001 ainsi que les éléments purement HDS afin d'avoir un aperçu de l’ampleur du travail. Compte tenu de celle-ci et des délais impartis - environ 18 mois avant l'expiration de l'agrément de notre hébergeur physique, OVH, j'ai rapidement décidé de faire appel à une aide extérieur. En l’occurrence, j'ai choisi le cabinet Vincent Trely qui a su nous accompagner de la meilleure façon possible.
Mon rôle dans la préparation de la certification a été la coordination générale, la planification, la création des documents et tickets d'améliorations pour respecter les procédures. La certification imposant que l'on puisse apporter la preuve lors des audits pour chaque élément de la norme, une grande partie de mon travail a également été de m'assurer que nous respections bien notre SMSI.
Sébastien - Gérant et directeur technique :
Dans mon rôle de gérant, j'ai d'abord eu la responsabilité de prendre la décision ou non d'engager Kiwi Backup dans la démarche de certification. L'enjeu était important compte tenu de la taille de la structure et des montants à investir pour être certifié. Mon rôle a été principalement de donner le cap en rédigeant la lettre d'engagement de la Direction vis-à-vis du SMSI.
Dans mon rôle de Directeur Technique, j'ai rédigé les documents d'architecture, comme le Dossier d'Architecture Technique (DAT) et ai bien sûr participé à la validation de l'ensemble du SMSI.
Morgan - Support technique et administrateur système :
J'ai eu un rôle décisionnaire dans la certification. En effet, j'ai participé aux réunions et j'ai participé aux différents débats sur la mise en place. Une partie de mon travail a aussi consisté à appliquer les règles sur les serveurs et à sécuriser les accès physiques aux bureaux.
Etienne - Développeur :
A mon arrivée chez Kiwi Backup, les réunions étaient rythmées par l'organisation de la certification. Ces dernières étaient organisées selon un ordre du jour qui a été amené à évoluer en fonction de nos besoins. J'ai accepté de gérer notre suivi de ticket à chaque réunion pour mettre à jour ceux qui sont en cours, programmer de nouveau ou décaler d'anciens, toujours par souci d'efficacité.
J'ai également eu un rôle à jouer dans la partie développement et la mise en place des procédures.
Stéphanie - Directrice commerciale :
En tant que directrice commerciale, je suis amenée à envoyer de nombreux mails avec des informations sensibles (ouverture d'espace sur la plateforme, envoi de bon de commande, ...). Mon rôle a été de communiquer sur les procédures commerciales en vigueur et de fournir un état des lieux de l'ensemble des formulaires utilisés.
Une autre partie de mon travail a consisté à mettre à jour les contrats afin d’insérer les mentions HDS et ISO 27001, de m'assurer que les contrats soient conformes et que la chaîne de la sous traitance soi prise en compte par nos partenaires. Enfin, j'étais l'intermédiaire avec OVHCloud, entreprise qui héberge les données de nos clients.
Loïc - Chargé marketing :
Je n'ai pas participé en tant que tel à la rédaction des documents ou des procédures. Nos mesures concernant le marketing avaient déjà été revues au moment de la mise en conformité avec le RGPD (règlement général sur la protection des données). Néanmoins, j'ai eu un rôle annexe mais non négligeable, communiquer auprès des partenaires. Nombreux étaient les prestataires informatiques qui posaient des questions sur les règles à appliquer et sur l'avancement de notre certification.
Pour répondre à cette demande, j'ai organisé des webinars sur le sujet, envoyé plusieurs mails et rédigé plusieurs articles.
Quels changements ont été appliqués à votre métier pour améliorer la sécurité ?
Le retour de Sébastien :
Il n'y a pas eu de changement fondamental dans mon métier comme on pourrait l'imaginer. Les changements ont principalement résidé dans la structuration des tâches et la formalisation des processus. En effet, nous réalisions déjà de façon informelle la majeure partie des procédures qui ont été officialisées.
Cela permet à tous d'être plus sereins dans leur travail grâce aux procédures mises en place et de se dégager du temps pour des actions à plus forte valeur ajoutée.
Le retour de Céline :
Le poste de responsable certification a été créé pour l'occasion. Précédemment, je m'occupais de la partie communication/marketing qui a été reprise par Loïc LEITZ. J'ai dû tout apprendre et me former à des fonctions que je ne connaissais pas. Pour cela, j'ai passé la formation "Lead Implementeur" afin de me plonger dans la norme (cette formation a aussi été suivie par Morgan Werner).
Depuis que la certification a été obtenue, je m'occupe au quotidien de l'évolution des documents du SMSI et m’assure que chaque membre de l'équipe respecte les procédures afin d'avoir une cohérence globale.
Le retour de Morgan :
La charge de travail est plus importante, surtout pendant la préparation car j'ai dû m'investir dans la création du SMSI. En dehors de la préparation à la certification, mon travail d’administrateur système et de support technique ne change pas beaucoup.
Je suis bien évidemment plus sensible sur les procédures et sur la vérification des personnes qui nous appellent (surtout lors d'une demande de restauration). Sur l’infogérance des serveurs, je dois respecter un cahier des charges plus strict qu'avant.
Le retour d'Etienne :
Au niveau de la chaîne de développement, nous suivions déjà une procédure stricte. Lorsqu'un besoin a été identifié, nous créons un ticket, puis dans le projet associé je crée une branche de développement spécifique. Une fois les tests en local effectués, on effectuait avec le directeur technique une analyse du code avant de merger. Notre système de livraison et d'intégration continue dispose d'une batterie de tests qui permettent d'effectuer des livraisons sans risques. Au moindre souci dans la chaîne, le processus se met en échec et la livraison n'a pas lieu.
La certification a permis de documenter tout ce processus et depuis on suit scrupuleusement cette démarche. Mon rôle a ainsi été de valider les documents en relation avec le développement ou l'aspect technique.
Le retour de Stéphanie :
J'ai dû sensibiliser nos clients et partenaires de l'importance de la certification et des nouvelles règles qui seront appliquées. Je pense notamment à l'importance de respecter la chaîne de sous-traitance. Je continue également d'être la référente pour communiquer avec OVHCloud.
Au quotidien, je dois également mettre en avant l'obtention de la certification. L'avoir est une chose, la faire connaître en est une autre !
Le retour de Loïc :
Au niveau du marketing, des changements sur la gestion des incidents ont été réalisés. Au quotidien, j'ai toujours des mails qui sont prêts à être envoyés pour informer nos partenaires des différents changements sur la solution Kiwi Santé. La certification mais aussi la volonté de satisfaire nos clients, nous oblige à être réactifs sur notre manière de communiquer.
Quel a été votre ressenti sur l'ensemble de la certification ?
Le ressenti de Morgan :
Au commencement, j'ai eu peur de la charge de travail à fournir car je pensais que l'on partait de zéro. Cependant, après un état des lieux, je me suis rendu compte que nous appliquons déjà plusieurs points de la certification. De plus, nous avons bénéficié d'un accompagnement qui a permis d'aborder plus sereinement la certification.
Actuellement, je ne retiens que du positif de ces mois de travail. Les changements établis deviennent routiniers et l'équipe est mieux organisée depuis.
Le ressenti de Céline :
J'ai d'abord sous-estimé le temps nécessaire pour préparer la certification. Je comptais travailler un jour par semaine sur la norme, au final, j'ai passé 80 % de mon temps sur le SMSI entre janvier et juin 2019. C'est pratiquement un emploi à temps plein. Etant responsable de la certification, il a été vital d'être très rigoureuse et organisée dans ce que je faisais au jour le jour et de bien coordonner les différents documents afin que le SMSI soit cohérent. En effet, sans cela, le projet aurait vite pu devenir une "usine à gaz".
Depuis l’obtention de la certification HDS et de l'ISO 27001, Kiwi Backup est encore plus légitime sur le marché de la sauvegarde de données. Il s'agit d'un vrai tournant pour l'entreprise, qui a mobilisé toutes les énergies pour y parvenir.
Le ressenti de Sébastien :
Il s'agit d'un projet intéressant et structurant qui nous a permis de poser des mots sur plusieurs processus que l'on appliquait déjà de façon intuitive. Les nombreuses heures passées à rédiger le SMSI nous ont permis de vraiment prendre le temps d'une réflexion profonde sur notre gestion de la sécurité et d'y apporter plus de cohérence.
Pour ma part, j'ai dû jongler avec mes différentes casquettes (gérant de 2 sociétés, Directeur Technique, RSSI - Responsable de la Sécurité des Systèmes d'Information) et mon emploi du temps pour dégager assez de temps pour ce projet très chronophage qu'est la certification HDS.
Pour conclure, je ne regrette pas d'avoir engagé ce processus de certification, bien au contraire, il s'agit d'un atout pour notre futur !
Le ressenti d'Etienne :
La certification fut une bonne dose d'adrénaline. Bien que l'enjeu soit stressant, j'ai vécu cela comme quelque chose de positif puisque cela ne pouvait être que du bonus pour nous, une reconnaissance de notre organisation et de notre capacité à savoir évoluer dans le bon sens en interne pour proposer des solutions à tout type de situation.
Le ressenti de Stéphanie :
La certification a permis, de mettre sur papier les actions que l’on mettait déjà en place et d’en améliorer d’autres. N’ayant pas participé aussi activement que Céline, Sébastien et Morgan à la préparation de la certification, l’audit, que ce soit l’interne ou l’audit réel, a engendré une certaine inquiétude. Notre effectif réduit peut sembler être un frein mais nous démontrons une fois de plus que nous savons déployer les ressources nécessaires à l’aboutissement d’un projet bénéfique pour notre activité et nos clients ; je suis fière de l’équipe.
Cette certification démontre que nous sommes conformes à la législation, c’est un gage de qualité et un avantage concurrentiel non négligeable (notamment du fait que nous soyons également certifiés pour l’infogérance de notre plateforme ; cela démontre notre maîtrise et notre indépendance).
Je profite également de cet article pour remercier Céline, Sébastien et Morgan qui se sont occupés en majorité de la certification pendant plusieurs mois.
Le ressenti de Loïc :
La certification a été une étape assez stressante mais très bénéfique pour l'entreprise. Pendant l'audit, j'ai eu peur d'oublier des éléments et de ne pas savoir répondre aux questions de l'auditeur. En effet, il y avait beaucoup de document à connaitre et de procédures à savoir.
Une fois la certification HDS obtenue, j'ai dû communiquer sur celle-ci et c'était une fierté de pouvoir l'annoncer à l'ensemble de nos clients, partenaires et prospects, surtout pour une entreprise de notre envergure. La certification nous fait évoluer dans un niveau supérieur :)