Comment Paymenttools a obtenu la certification ISO 27001 et mis en place une gestion unifiée de la conformité

Paymenttools est une entreprise spécialisée dans les technologies et les solutions de paiement, forte d'une solide expérience dans le secteur du commerce de détail. Sa mission est de concevoir des paiements qui simplifient la vie de tous, des caissiers aux clients, et d'améliorer durablement l'expérience d'achat.

Forte de son expérience dans le commerce, l'équipe de Paymenttools considère les transactions de paiement non pas comme une simple formalité, mais comme un outil stratégique pour les entreprises modernes. Elle adopte une approche globale, prenant en compte tous les aspects, des processus de paiement et des programmes de fidélité à notre vision d'un système de paiement européen indépendant.

Ils sont animés par un objectif commun : pérenniser les paiements grâce à des solutions fiables aujourd’hui et qui créeront une véritable indépendance demain.

Avec des ressources limitées en matière de sécurité et de gestion des risques, l'équipe de Paymenttools avait besoin d'une solution simple et pragmatique pouvant être exploitée par une petite équipe ciblée pour obtenir avec succès la certification ISO 27001.

En tant qu'entreprise native du cloud avec une forte orientation ingénierie, de nombreux contrôles de sécurité traditionnels et bureaucratiques ne s'appliquaient pas à l'entreprise ; pouvoir identifier et mettre en œuvre facilement les contrôles pertinents était donc une priorité essentielle.

Jan et son équipe utilisaient des outils comme Google Workspace pour définir les politiques et gérer les risques, mais ils ont reconnu que cette approche n'était pas efficace. Ils avaient besoin d'une plateforme dédiée pour gérer et maintenir leur système de gestion de la sécurité de l'information (SGSI), plutôt que d'utiliser des outils et une documentation disparates.

Ils avaient également besoin d'un soutien et de conseils d'experts pour mener à bien le processus de conformité et de certification ISO 27001. L'équipe recherchait une personne partageant leur philosophie de sécurité, un véritable « copilote » : un partenaire, et non un obstacle, qui favorise la réussite et trouve des solutions sécurisées pour obtenir un accord.

Paymenttools a fait appel à l'expertise de SGG pour mettre en œuvre un système de gestion de l'information conforme à la norme ISO 27001 et réaliser des audits de pré-certification, tant avant l'étape 1 qu'avant l'étape 2.

L'entreprise a également tiré parti de la plateforme IO, en utilisant les modèles et les flux de travail ISO 27001 préconfigurés de la plateforme pour garantir une mise en œuvre et un alignement rapides.

L'utilisation de la plateforme IO a permis à Paymenttools de simplifier sa mise en conformité avec la norme ISO 27001 et de mettre en œuvre et gérer efficacement les contrôles et processus associés. Chris Gill, responsable de la cybersécurité, de la gouvernance, des risques et de l'audit chez SGG, a déclaré : « Les modèles et flux de travail prédéfinis, conformes à la norme ISO 27001, ont permis à l'entreprise de réaliser d'importantes économies de temps et de réduire la complexité. »

Avec le soutien de SGG, Paymenttools a tiré parti de la plateforme IO intuitive et conviviale et de la méthode IO en 11 étapes pour obtenir des résultats garantis (ARM) afin de travailler de manière stratégique sur les exigences de certification.

Les éléments préconfigurés de la plateforme ont servi de base à Paymenttools pour concevoir et faire évoluer un système de gestion de la sécurité de l'information (SGSI) sur mesure et hautement adapté à ses besoins. Parmi les principaux outils utilisés par l'entreprise figuraient le registre des risques, l'inventaire des actifs, la cartographie des parties prenantes, le suivi de la gestion de la sécurité et le suivi des actions correctives et d'amélioration.

La collaboration était également un élément essentiel du partenariat. Afin de garantir un succès continu, SGG et Paymenttools ont constamment coordonné leurs efforts en matière de conformité, veillant à ce que la mise en conformité à la norme ISO 27001 progresse comme prévu.

Paymenttools a obtenu avec succès la certification ISO 27001 en neuf mois.

Jan estime qu'en travaillant avec IO et SGG, l'entreprise a économisé environ 100 jours-personnes lors de la configuration initiale par rapport à une approche manuelle, sans compter le temps gagné sur les travaux de maintenance continus.

Pour Paymenttools, les éléments les plus précieux de la plateforme IO étaient la documentation moderne des politiques et l'inventaire des actifs fournis dans la structure du projet ISO 27001 : « L'élément le plus important de la plateforme IO était les politiques prédéfinies, précisément parce qu'elles sont optimisées pour une entreprise moderne comme la nôtre. »

L'équipe Paymenttools a également bénéficié de l'approche centralisée de la plateforme en matière de sécurité de l'information, couvrant la gestion des risques, la gestion des actifs, les actions correctives et la réponse aux incidents. Cela a permis à l'entreprise de consolider sa charge de travail liée à la conformité et de différer le recours aux outils spécialisés jusqu'à ce qu'ils soient absolument nécessaires.

Les conseils stratégiques et l'expertise de SGG ont joué un rôle déterminant dans l'obtention de la certification ISO 27001 par Paymenttools, en orientant la gestion de la sécurité de l'entreprise dans la bonne direction pour garantir le succès de la certification.

Bien que l'entreprise ait obtenu avec succès la certification ISO 27001, l'amélioration continue est une exigence pour le maintien de la conformité.

De ce fait, Paymenttools et SGG restent concentrés sur la maturation du système de gestion de la sécurité de l'information (SGSI) de l'entreprise et la correction de toute anomalie constatée.

Depuis l'obtention de la certification ISO 27001, Jan et son équipe ont étendu leur conformité aux normes PCI DSS et à la réglementation allemande KRITIS, le tout au sein de la plateforme IO. Paymenttools commence désormais à exploiter la plateforme IO comme un outil de gestion des politiques et des risques pour l'ensemble de l'organisation, élargissant ainsi son champ d'application au-delà de la simple sécurité.

L'équipe intègre actuellement NIS 2 pour assurer l'alignement avec la réglementation, le cadre de cybersécurité NIST (CSF) pour mesurer la maturité et CoBit comme cadre de contrôle général.