Comment Paymenttools a obtenu la certification ISO 27001 et mis en place une gestion unifiée de la conformité

« La plateforme IO constitue désormais notre système stratégique global de gestion de l'ensemble de notre environnement en matière de sécurité et de conformité. »

Jan Oetting RSSI, Outils de paiement

À retenir

Découvrez comment Paymenttools :

• Obtention de la certification ISO 27001 en neuf mois
• J'ai utilisé la plateforme IO pour mettre en œuvre un système de gestion de la sécurité de l'information (SGSI) robuste et garantir la conformité à la norme ISO 27001.
• J'ai fait appel au soutien et à l'expertise de SGG pour obtenir la certification.
• Continuez à tirer parti de la plateforme IO pour gérer l'ensemble de votre environnement en matière de sécurité et de conformité.

À propos de Paymenttools

Paymenttools est une entreprise spécialisée dans les technologies et les solutions de paiement, forte d'une solide expérience dans le secteur du commerce de détail. Sa mission est de concevoir des paiements qui simplifient la vie de tous, des caissiers aux clients, et d'améliorer durablement l'expérience d'achat.

Forte de son expérience dans le commerce, l'équipe de Paymenttools considère les transactions de paiement non pas comme une simple formalité, mais comme un outil stratégique pour les entreprises modernes. Elle adopte une approche globale, prenant en compte tous les aspects, des processus de paiement et des programmes de fidélité à notre vision d'un système de paiement européen indépendant.

Ils sont animés par un objectif commun : pérenniser les paiements grâce à des solutions fiables aujourd’hui et qui créeront une véritable indépendance demain.

La Problématique

Disposant de ressources limitées en matière de sécurité et de gestion des risques, l'équipe de Paymenttools avait besoin d'une solution agile et pragmatique, exploitable par une petite équipe spécialisée, pour obtenir la certification ISO 27001. En tant qu'entreprise native du cloud, fortement axée sur l'ingénierie, de nombreux contrôles de sécurité traditionnels et bureaucratiques ne s'appliquaient pas à son activité ; il était donc primordial de pouvoir identifier et mettre en œuvre facilement les contrôles pertinents.

« Notre défi consistait à maintenir un niveau élevé de sécurité et de conformité sans ralentir nos ingénieurs. »

Jan Oetting RSSI, Outils de paiement

Jan et son équipe utilisaient des outils comme Google Workspace pour définir les politiques et gérer les risques, mais ils ont reconnu que cette approche n'était pas efficace. Ils avaient besoin d'une plateforme dédiée pour gérer et maintenir leur système de gestion de la sécurité de l'information (SGSI), plutôt que d'utiliser des outils et une documentation disparates.

Ils avaient également besoin d'un soutien et de conseils d'experts pour mener à bien le processus de conformité et de certification ISO 27001. L'équipe recherchait une personne partageant leur philosophie de sécurité, un véritable « copilote » : un partenaire, et non un obstacle, qui favorise la réussite et trouve des solutions sécurisées pour obtenir un accord.

« Ce travail global s’inscrit dans le cadre de notre transition stratégique, passant d’une conformité réactive à une maîtrise proactive de notre environnement défensif. »

Jan Oetting RSSI, Outils de paiement

La solution

Paymenttools a fait appel à l'expertise de SGG pour mettre en œuvre un système de gestion de l'information conforme à la norme ISO 27001 et réaliser des audits de pré-certification, tant pour la phase 1 que pour la phase 2. L'entreprise a également tiré parti de la plateforme IO, en utilisant les modèles et les flux de travail ISO 27001 préconfigurés de la plateforme pour garantir une mise en œuvre et un alignement rapides.

« SGG a fourni des conseils essentiels pour comprendre la norme et aborder le processus de certification de manière pragmatique et axée sur les besoins de l'entreprise. »

Jan Oetting RSSI, Outils de paiement

L'utilisation de la plateforme IO a permis à Paymenttools de simplifier sa mise en conformité avec la norme ISO 27001 et de mettre en œuvre et gérer efficacement les contrôles et processus associés. Chris Gill, responsable de la cybersécurité, de la gouvernance, des risques et de l'audit chez SGG, a déclaré : « Les modèles et flux de travail prédéfinis, conformes à la norme ISO 27001, ont permis à l'entreprise de réaliser d'importantes économies de temps et de réduire la complexité. »

Avec le soutien de SGG, Paymenttools a tiré parti de la plateforme IO intuitive et conviviale et de la méthode IO en 11 étapes pour obtenir des résultats garantis (ARM) afin de travailler de manière stratégique sur les exigences de certification.

« Les méthodes de résultats garantis (ARM) ont parfaitement fonctionné comme prévu, nous offrant un gain de temps considérable : environ 70 % des politiques étaient immédiatement opérationnelles. Cela nous a permis de nous concentrer sur notre stratégie de sécurité : définir nos actions, évaluer les risques, puis améliorer. »

Jan Oetting RSSI, Outils de paiement

Les éléments préconfigurés de la plateforme ont servi de base à Paymenttools pour concevoir et faire évoluer un système de gestion de la sécurité de l'information (SGSI) sur mesure et hautement adapté à ses besoins. Parmi les principaux outils utilisés par l'entreprise figuraient le registre des risques, l'inventaire des actifs, la cartographie des parties prenantes, le suivi de la gestion de la sécurité et le suivi des actions correctives et d'amélioration.

La collaboration était également un élément essentiel du partenariat. Afin de garantir un succès continu, SGG et Paymenttools ont constamment coordonné leurs efforts en matière de conformité, veillant à ce que la mise en conformité à la norme ISO 27001 progresse comme prévu.

« L’équipe de SGG a organisé des ateliers avec le personnel de Paymenttools au fur et à mesure des besoins afin de s’assurer que les concepts de la norme ISO 27001:2022 étaient clairs et compréhensibles. »

Chris Gil Responsable de la cybersécurité, de la gouvernance, des risques et de l'audit, SGG

Le Résultat

Paymenttools a obtenu avec succès la certification ISO 27001 en neuf mois. Jan estime qu'en collaborant avec IO et SGG, l'entreprise a économisé environ 100 jours-personnes lors de la configuration initiale par rapport à une approche manuelle, sans compter le temps gagné sur la maintenance continue.

« Le temps consacré aux tâches administratives liées à la gestion des différentes réglementations et audits est considérablement réduit. »

Jan Oetting RSSI, Outils de paiement

Pour Paymenttools, les éléments les plus précieux de la plateforme IO étaient la documentation moderne des politiques et l'inventaire des actifs fournis dans la structure du projet ISO 27001 : « L'élément le plus important de la plateforme IO était les politiques prédéfinies, précisément parce qu'elles sont optimisées pour une entreprise moderne comme la nôtre. »

L'équipe Paymenttools a également bénéficié de l'approche centralisée de la plateforme en matière de sécurité de l'information, couvrant la gestion des risques, la gestion des actifs, les actions correctives et la réponse aux incidents. Cela a permis à l'entreprise de consolider sa charge de travail liée à la conformité et de différer le recours aux outils spécialisés jusqu'à ce qu'ils soient absolument nécessaires.

Les conseils stratégiques et l'expertise de SGG ont joué un rôle déterminant dans l'obtention de la certification ISO 27001 par Paymenttools, en orientant la gestion de la sécurité de l'entreprise dans la bonne direction pour garantir le succès de la certification.

« Chris, de SGG, nous a apporté un soutien essentiel pour comprendre la norme et aborder le processus de certification de manière pragmatique et axée sur les besoins de l'entreprise. Il a été un véritable copilote. Il a discuté des points critiques avec les auditeurs externes, a justifié nos décisions et nous a également apporté une aide précieuse en matière de gestion des risques. »

Jan Oetting RSSI, Outils de paiement

Quelle est la prochaine étape?

Bien que l'entreprise ait obtenu avec succès la certification ISO 27001, l'amélioration continue est une condition essentielle au maintien de sa conformité. C'est pourquoi Paymenttools et SGG restent mobilisés pour faire évoluer le système de management de la sécurité de l'information (SMSI) de l'entreprise et corriger les anomalies constatées.

« Depuis que Paymenttools a obtenu la certification ISO 27001:2022, SGG a contribué à faire mûrir un certain nombre de processus de Paymenttools, notamment la gestion des fournisseurs, le retour des actifs et la sécurité de l'information dans la gestion de projet. »

Chris Gil Responsable de la cybersécurité, de la gouvernance, des risques et de l'audit, SGG

Depuis l'obtention de la certification ISO 27001, Jan et son équipe ont étendu leur conformité aux normes PCI DSS et à la réglementation allemande KRITIS, le tout au sein de la plateforme IO. Paymenttools commence désormais à exploiter la plateforme IO comme un outil de gestion des politiques et des risques pour l'ensemble de l'organisation, élargissant ainsi son champ d'application au-delà de la simple sécurité.

« La plateforme IO constitue désormais notre système stratégique global de gestion de l'ensemble de notre environnement en matière de sécurité et de conformité. »

Jan Oetting RSSI, Outils de paiement

L'équipe intègre actuellement NIS 2 pour assurer l'alignement avec la réglementation, le cadre de cybersécurité NIST (CSF) pour mesurer la maturité et CoBit comme cadre de contrôle général.

« Nous poursuivons notre démarche visant à faire évoluer notre posture de sécurité, de la "conformité" au "commandement". »

Jan Oetting RSSI, Outils de paiement