Comment Autotech Group améliore en continu la sécurité de l'information grâce à la norme ISO 27001

« Cette certification est un effet secondaire de notre démarche – nous l’avons entreprise pour nous améliorer et perfectionner notre approche en matière de gestion de la sécurité de l’information, de formation des utilisateurs finaux et de processus. »

Jack Salsbury Responsable informatique et sécurité de l'information, Groupe Autotech

Points clés à retenir

Découvrez comment Autotech Group :

• Obtention de la certification ISO 27001 en 11 mois
• Utilisation de la plateforme IO pour rationaliser la mise en œuvre du SMSI
• Nous avons mis à profit l'expertise de SGG en matière de norme ISO 27001 pour favoriser sa réussite.
• Meilleures pratiques de sécurité de l'information intégrées pour une amélioration continue.

À propos du groupe Autotech

Autotech Group, spécialiste du secteur automobile et de la mobilité, se compose de quatre marques : Autotech Recruit, Autotech Training, Autotech Academy et Autotech Connect.

Cette entreprise, cabinet de conseil spécialisé et primé, est un moteur d'innovation dans les secteurs de l'automobile et de la mobilité en général. Grâce à des solutions sur mesure articulées autour de ses trois principaux domaines d'expertise – les ressources humaines, les compétences et la technologie – elle s'attaque à l'un des défis les plus urgents du secteur : la pénurie croissante de main-d'œuvre.

La Problématique

L'équipe d'Autotech Group devait obtenir la certification ISO 27001 dans le cadre de sa stratégie de sécurité de l'information. Elle savait qu'en mettant en place, en maintenant et en améliorant un système de gestion de la sécurité de l'information (SGSI) conforme à la norme ISO 27001, elle pourrait garantir que son approche de la sécurité de l'information soit conforme aux meilleures pratiques.

« La sécurité de l'information n'est pas statique. Nous évoluons et changeons constamment, en veillant à ce que notre sécurité de l'information soit proportionnée à nos besoins en tant qu'entreprise, plutôt que d'y ajouter simplement tout ce que nous pouvons trouver. »

Jack Salsbury Responsable informatique et sécurité de l'information, Groupe Autotech

La certification ISO 27001 permettrait également à Autotech Group de démontrer à ses parties prenantes que l'entreprise respecte les exigences fondamentales en matière de sécurité de l'information. Nombre de fournisseurs et partenaires d'Autotech Group exigent une preuve de conformité en matière de sécurité de l'information, avec des exigences allant souvent au-delà du cadre des référentiels de sécurité de base tels que Cyber ​​Essentials et Cyber ​​Essentials Plus.

Cela rendait la démonstration de mesures efficaces de sécurité de l'information cruciale pour la poursuite du succès : la certification ISO 27001 serait un catalyseur de croissance.

« Pour nous, les certifications Cyber ​​Essentials et Cyber ​​Essentials Plus ne suffisaient plus. La norme ISO 27001 représentait l'étape suivante, plus globale, en matière de certification et de capacité à démontrer notre sécurité de l'information. »

Jack Salsbury Responsable informatique et sécurité de l'information, Groupe Autotech

Cependant, face au développement de son expertise interne en matière de norme ISO 27001, l'équipe avait besoin d'un soutien supplémentaire pour mener à bien la mise en œuvre et d'une plateforme pour consolider le processus de conformité.

La solution

L'équipe a fait appel à l'expertise du cabinet de conseil en sécurité de l'information SGG et a utilisé la plateforme IO pour centraliser la gestion de sa conformité. En interne, Nadège, chef de projet chez Autotech Group, a assuré la gestion du projet. Elle a veillé à aligner la structure et les responsabilités du projet ISO 27001 avec les ressources internes et les besoins de l'entreprise afin de garantir la réussite de la certification.

Chris Gill, responsable de la cybersécurité, de la gouvernance, des risques et de l'audit chez SGG, a apporté son soutien tout au long du processus de certification. Il a collaboré avec l'équipe d'Autotech Group pour clarifier certains points de la norme qui étaient quelque peu ambigus et a partagé les meilleures pratiques de mise en œuvre. Chris a déclaré : « Jack et Nadège possédaient tous deux une grande expertise en matière de sécurité de l'information. Le rôle de SGG consistait à apporter des éclaircissements sur les exigences techniques de la norme ISO 27001:2022 et à conseiller sur la manière de les mettre en œuvre efficacement et de s'y conformer. »

« SGG a apporté clarté et expertise au processus de certification, en abordant les aspects de la norme où nous avions besoin d'aide. »

Jack Salsbury Responsable informatique et sécurité de l'information, Groupe Autotech

Jack et Nadège ont utilisé la méthode ARM (Assured Results Method) en 11 étapes d'IO pour adopter une approche stratégique de la mise en œuvre. Ils ont également utilisé les modèles de politiques et de contrôles intégrés à la plateforme et les ont adaptés au contexte spécifique de l'entreprise.

« La plateforme nous a fourni le cadre et le contenu que nous pouvions adapter – notre expérience interne en matière de norme ISO 27001 se développait, ce qui a été inestimable pour soutenir notre succès. »

Nadège Gavarret-Clarke Chef de projet, Groupe Autotech

Grâce à la plateforme IO, Autotech Group a pu établir une correspondance entre les exigences des normes ISO 27001 et ISO 9001 (norme de management de la qualité) et harmoniser les contrôles aux points de chevauchement. Ceci a permis d'éviter la duplication des tâches et de rationaliser la gestion de la conformité aux deux normes.

Le Résultat

« ARM nous a fourni une approche rationnelle de la norme ISO 27001, ce qui nous a permis d'analyser en détail chacune des clauses et des contrôles de l'annexe A. »

Jack Salsbury Responsable informatique et sécurité de l'information, Groupe Autotech

Grâce à cette approche globale de la conformité, qui englobe les personnes, les processus et les plateformes, Autotech Group a obtenu la certification ISO 27001 en 11 mois. L'entreprise dispose désormais d'un système de gestion de la sécurité de l'information (SGSI) robuste et l'équipe poursuit l'amélioration de sa gestion de la sécurité de l'information, conformément à l'exigence d'amélioration continue de la norme ISO 27001.

Autotech Recruit est désormais l'une des rares entreprises de recrutement de sa taille à posséder à la fois la certification ISO 27001 et la certification ISO 9001, témoignant de l'engagement de l'équipe envers la qualité et la sécurité.

« IO nous apporte la tranquillité d'esprit nécessaire pour mettre en œuvre les améliorations issues de nos audits et les mesurer. Nous avons une vision claire de notre situation et, lorsqu'une modification est apportée, nous pouvons en constater l'impact. La plateforme IO nous offre une vue d'ensemble très précise des améliorations apportées à nos contrôles. »

Jack Salsbury Responsable informatique et sécurité de l'information, Groupe Autotech

Bien que l'obtention de la certification ISO 27001 fût l'objectif principal, Jack a indiqué qu'il était tout aussi important que les meilleures pratiques de la norme soient appliquées efficacement dans toute l'entreprise :

« Cette certification est un effet secondaire de notre démarche – nous l’avons entreprise pour nous améliorer et perfectionner notre approche en matière de gestion de la sécurité de l’information, de formation des utilisateurs finaux et de processus. »

Jack Salsbury Responsable informatique et sécurité de l'information, Groupe Autotech

Autotech Group a programmé ses trois prochains audits auprès de SGG afin de garantir sa conformité continue et de faire évoluer la maturité de son système de management de la sécurité de l'information (SMSI). Jack a déclaré : « L'un des aspects les plus utiles de notre collaboration avec SGG est la possibilité d'échanger sur le niveau de maturité attendu du SMSI tout au long du processus. »

« C’est formidable de constater la maturité des processus et des politiques d’Autotech Group depuis que je travaille avec eux. Je me réjouis de mener leurs audits internes afin de vérifier leur conformité aux exigences de la norme ISO 27001:2022 et d’identifier les axes d’amélioration à mesure que notre partenariat évolue. »

Chris Gil Responsable de la cybersécurité, de la gouvernance, des risques et de l'audit, SGG

Prochaines étapes

L'équipe travaille actuellement à la mise en conformité d'Autotech Group avec le RGPD. À l'aide de la plateforme IO, elle prévoit de commencer par une analyse des écarts afin d'identifier les points de convergence entre les contrôles mis en place pour la certification ISO 27001 et les exigences du RGPD, ainsi que les domaines nécessitant des améliorations.