Comment 4way Consulting a ouvert la voie au succès de la norme ISO 27001

4way Consulting propose des services de conseil et d'assistance spécialisés en technologies, contribuant à améliorer la sécurité, la fiabilité et l'accessibilité des services de transport au Royaume-Uni. L'entreprise accompagne les administrations locales et centrales dans la gestion des réseaux de transport grâce au déploiement de technologies. Son équipe d'environ 45 personnes est principalement basée à Manchester et Birmingham.

L'équipe de 4way Consulting souhaitait mettre en œuvre la norme ISO 27001 pour la gestion de la sécurité de l'information afin de compléter sa certification existante en matière de gestion de la qualité ISO 9001.

Ils envisageaient également la norme ISO 45001 pour la gestion de la santé et de la sécurité au travail (SST), car l'entreprise disposait déjà d'un système de gestion SST contenant des éléments sur lesquels elle pouvait s'appuyer pour assurer sa conformité. Comme l'entreprise traitait des informations sensibles, la certification ISO 27001 était essentielle pour démontrer que 4way Consulting appliquait les meilleures pratiques en matière de sécurité de l'information. Ils avaient besoin d'une méthode pour mettre en œuvre la norme de manière stratégique et ainsi gagner du temps et des ressources.

« Nous devions trouver la solution la plus économique et la plus rapide pour obtenir la certification », explique Ian Pengelly, directeur technique du numérique chez 4way Consulting. Une des options envisagées par Ian et son équipe consistait à créer leur propre système de gestion de la sécurité de l'information (SGSI). Une autre possibilité était d'adopter le système basé sur SharePoint utilisé par une société sœur. Aucune de ces options n'offrait l'efficacité ni la centralisation recherchées par l'équipe.

L'équipe de 4way Consulting a utilisé la plateforme IO pour mettre en œuvre la norme ISO 27001 et est en train de mettre en œuvre la norme ISO 45001, ainsi que de migrer son travail de gestion ISO 9001 existant vers la plateforme. 

L'équipe a utilisé la méthode en 11 étapes Assured Results Method (ARM) pour faire progresser sa conformité à la norme ISO 27001, ainsi que pour adapter les modèles de politiques et de contrôles préconfigurés de la plateforme.

L'entreprise a également utilisé la fonctionnalité de registre des risques de la plateforme pour créer un résumé des normes ISO 27001, ISO 45001 et ISO 9001. Elle a créé un nouveau groupe au sein de la plateforme IO, en le reliant aux registres des risques de ses normes. Ceci a permis d'obtenir un registre des risques consolidé, qui a ensuite pu être filtré pour ne retenir que les risques les plus critiques et utilisé comme registre des risques de l'entreprise. L'équipe de direction a ainsi pu évaluer et traiter ces risques plus fréquemment.

La plateforme IO intuitive a également aidé l'entreprise à établir des liens entre ses risques, ses actifs et ses contrôles, ce qui a permis de clarifier comment 4way Consulting gérait les risques conformément aux exigences des normes.

De plus, la sensibilisation et l'engagement des employés sont essentiels au respect continu des normes ISO ; 4way Consulting a adapté son approche de l'apprentissage des employés en fonction de ses politiques et procédures sur la plateforme IO.

Ils ont partagé leur documentation avec les employés, qui ont signé un document de confirmation attestant de leur lecture et de leur compréhension de chaque document, tout en leur permettant de formuler des commentaires sur les points nécessitant des éclaircissements. Cela leur a permis d'enregistrer ces commentaires, de mettre à jour les documents et de suivre leurs versions sur la plateforme IO, confirmant ainsi l'implication des employés et appuyant leur certification.

L'entreprise développe également son système de gestion de l'apprentissage (LMS) avec du contenu vidéo interactif, ce qui permettra d'obtenir davantage de commentaires, de suivre l'engagement des employés et pourra être enregistré comme preuve de conformité.

4way Consulting a obtenu la certification ISO 27001 en 17 mois, bien que l'équipe estime que cela aurait pris environ 10 mois avec davantage de ressources disponibles.

Ian explique que la facilité d'utilisation de la plateforme a permis de rationaliser le processus d'audit :

Les normes ISO exigent une amélioration continue. C'est pourquoi l'équipe concentre ses efforts sur le perfectionnement de sa conformité à la norme ISO 27001, la réalisation d'examens réguliers des risques et des contrôles, ainsi que l'évaluation du registre des risques de l'entreprise. L'équipe IO continue d'accompagner 4way Consulting dans le développement de son système de gestion de la sécurité de l'information (SGSI) et la préparation de ses prochaines étapes : l'obtention de certifications ISO supplémentaires.

Ian et l'équipe de 4way Consulting continuent de mettre en œuvre la norme ISO 45001 pour la gestion de la santé et de la sécurité.

Ils poursuivent également la migration de leur système de gestion de la qualité ISO 9001 vers la plateforme IO. L'équipe crée par ailleurs des vidéos de formation, avec l'aide de l'équipe formation et développement, afin de faciliter l'intégration des nouveaux employés, de maintenir la sensibilisation des collaborateurs et de garantir la conformité des fournisseurs aux exigences de sécurité de l'information de 4way Consulting.