Comment LearnSci démontre une gestion de sécurité robuste et rationalise l'intégration des partenaires avec la certification ISO 27001

Le défi

LearnSci collabore directement avec les universités pour fournir des ressources pédagogiques numériques. L'entreprise détient donc une quantité importante de données sur les étudiants, les évaluations et les devoirs. L'enquête 2025 sur les failles de cybersécurité a révélé que 97 % des établissements d'enseignement supérieur ont identifié une faille ou une cyberattaque au cours de l'année écoulée. Par conséquent, les fournisseurs potentiels sont tenus de respecter des exigences de sécurité strictes ; l'obtention de la certification ISO 27001 était cruciale pour l'entreprise, permettant à LearnSci de démontrer la solidité de ses pratiques de sécurité.

Katy Aldrich, responsable des opérations chez LearnSci, a déclaré : « Les universités intègrent des parties de notre système aux leurs, et nous stockons les données des étudiants de notre côté. Nous devons être très vigilants quant à la protection de ces données. Les universités doivent suivre des processus d'approvisionnement complexes pour l'acquisition de licences pour tout nouveau logiciel, et la norme ISO 27001 est un atout majeur. »

« Nous souhaitions être certifiés ISO 27001 pour montrer que nous prenons soin des données qui nous sont confiées et que nous prenons en compte la sécurité des données dans toute l'organisation. »

Katy Aldrich Responsable des opérations, LearnSci

Katy et l'équipe Learning Science avaient tenté de mettre en œuvre la norme ISO 27001 à l'aide de divers modèles de documents et de politiques. Cependant, face à l'enlisement de la mise en œuvre, ils ont réalisé qu'ils avaient besoin d'un outil leur permettant de créer un système de gestion de la sécurité de l'information (SMSI) complet et efficace, conforme aux meilleures pratiques de la norme ISO 27001.

Nous avions essayé plusieurs solutions, mais rien ne fonctionnait vraiment et nous n'avancions pas. Nous avons testé quelques modèles de politiques, mais nous ne disposions pas de l'infrastructure nécessaire au sein de l'entreprise, ni des connaissances nécessaires en matière de registres des risques et d'actifs. Il nous fallait quelque chose qui offre plus qu'un simple point de départ pour les politiques.

Katy Aldrich Responsable des opérations, LearnSci

La solution

L'entreprise a mis en œuvre ISMS.online pour gérer sa conformité à la norme ISO 27001. La plateforme permettait de centraliser les politiques, les tâches, la gestion des risques, la collecte de preuves, etc. En collaboration avec son responsable de la réussite client dédié et grâce à la méthode des résultats garantis (ARM) d'ISMS.online, LearnSci a adopté une approche progressive de la conformité, intégrant pleinement la sécurité de l'information à l'ensemble de l'entreprise.

« Les modèles de politiques et de contrôles pré-rédigés ont constitué une base solide : 90 % de ce dont nous avions besoin y était. Nous avons pu supprimer les éléments inutiles et en ajouter d'autres. »

Katy Aldrich Responsable des opérations, LearnSci

Katy a ajouté : « Partir de zéro et essayer de trouver comment aligner la norme, rédigée de manière très spécifique, puis l'appliquer à notre entreprise aurait été beaucoup plus difficile. Avoir ce point de départ était vraiment important pour nous. »

LearnSci a également utilisé la fonctionnalité « policy packs » de la plateforme pour favoriser une culture de sensibilisation à la conformité. L'utilisation de ces « policy packs » par l'entreprise est en parfaite adéquation avec les exigences de formation et de sensibilisation des employés de la norme ISO 27001 et permet à LearnSci de s'assurer que les employés de toute l'organisation connaissent leurs rôles et responsabilités en matière de sécurité de l'information.

Nous utilisons ISMS.online pour partager les politiques clés ; lorsque de nouveaux employés prennent leurs fonctions, nous leur envoyons un dossier contenant 15 ou 20 politiques clés à prendre en compte dans leur travail quotidien. Nous pouvons ensuite republier régulièrement ce dossier et demander à chacun de vérifier qu'il les connaît toujours, car il est facile de lire un document puis de l'oublier. Cela s'est avéré utile lors de notre audit de certification, car nous avons pu prouver que nous avons présenté les politiques pertinentes aux employés et qu'ils les ont lues.

Le Résultat

« Suivre la méthode ARM nous a aidé à identifier les domaines sur lesquels nous devions nous concentrer pour progresser. »

Katy Aldrich Responsable des opérations, LearnSci

L'équipe LearnSci a développé son SMSI et intégré des processus de sécurité de l'information dans l'entreprise sur une période de trois ans et a obtenu avec succès la certification ISO 27001 pour la première fois en 2025.

« Au moment des audits, nous disposions d'un système que nous avions développé depuis quelques années, qui fonctionnait bien et que nous maîtrisions parfaitement. Toute l'entreprise connaissait la plateforme, car nous avions déjà fait lire leurs dossiers de polices d'assurance à plusieurs reprises et impliqué d'autres personnes dans l'enregistrement des risques ou l'utilisation du suivi des incidents », a déclaré Katy. « Ainsi, lorsque les auditeurs nous posaient des questions, nous pouvions les orienter. Ils ont constaté que le système était vraiment bien configuré. »

La certification ISO 27001 devrait permettre à Katy et à son équipe de gagner un temps et des ressources précieux lors de leurs collaborations avec les universités. L'impact le plus important se fera sentir lors de l'intégration de nouveaux partenaires par LearnSci : dans de nombreux cas, la certification ISO 27001 évite à l'équipe de remplir des questionnaires complexes sur la sécurité de l'information. Elle démontre plutôt la solidité de la gestion de la sécurité de l'information de l'entreprise.

« La certification ISO 27001 garantit à notre partenaire que nous avons obtenu une certification externe et que nous maîtrisons la sécurité des données. C'est une grande victoire pour nous et pour eux. »

Katy Aldrich Responsable des opérations, LearnSci

« L'année dernière, j'ai rempli deux questionnaires sur la sécurité de l'information, dont la première question était : « Êtes-vous certifié ISO 27001 ? » Si vous pouvez cocher cette case et indiquer votre numéro de certificat, vous n'avez pas à remplir le formulaire. »

LearnSci a également réalisé des économies de coûts significatives en utilisant la plateforme ISMS.online.

Si l'on prend en compte le coût du système et le temps que nous y consacrons, c'est bien moins cher que d'embaucher un responsable de la conformité. Nous ne pourrions pas embaucher une personne du niveau requis pour ce poste, car nous aurions encore besoin du temps d'autres personnes de l'entreprise.

Quelle est la prochaine étape?

L'équipe LearnSci est fière d'avoir obtenu la certification ISO 27001 et prévoit de la promouvoir, ainsi que de mettre en avant les moyens de maintenir les normes élevées qu'elle établit. Elle s'appuiera sur cette certification lors des discussions sur les ventes et les renouvellements à venir au cours des prochains mois, alors que les universités commencent à réfléchir aux ressources nécessaires pour la prochaine année universitaire.

« Notre certification ISO 27001 va vraiment entrer en jeu dans les six prochains mois, alors que nous entrons dans notre haute saison de ventes. »

Katy Aldrich Responsable des opérations, LearnSci