Comment le groupe Spenn a réussi sa certification ISO 27001 grâce aux technologies IO et Dunamis

« La plateforme IO a servi de point central pour relier des éléments essentiels tels que les risques, les actifs et les contrôles. Les intégrations nous ont permis de recueillir plus facilement des preuves, de gérer les risques et de fournir une piste d'audit claire. »

Kristian Kolstad Directeur des produits et de la technologie (CPTO), Groupe Spenn

À retenir

Découvrez comment Spenn Group :

• Obtention de la certification ISO 27001 en 10 mois
• J'ai utilisé la plateforme IO pour rationaliser la mise en œuvre du SMSI et la conformité à la norme ISO 27001.
• Nous avons mis à profit l'expertise de vCISO de Dunamis Technology pour favoriser notre réussite.
• J'ai instauré une culture de sensibilisation à la sécurité de l'information au sein de toute l'entreprise.

À propos de Spenn

Spenn Group AS (Spenn Group) conçoit et exploite une plateforme qui facilite la mise en place d'un écosystème de programmes de fidélité. Basée en Norvège, la société gère Spenn, la nouvelle monnaie de fidélité nordique, créée en partenariat avec Strawberry, Norwegian Air Shuttle et Reitan Retail. Spenn unifie les programmes de récompenses, permettant aux membres de cumuler et d'utiliser des points dans les hôtels, les compagnies aériennes et les supermarchés, créant ainsi un écosystème commun et flexible pour la fidélisation dans les pays nordiques.

La Problématique

En tant que start-up en forte croissance, Spenn Group devait impérativement mettre en œuvre rapidement, mais de manière stratégique, un système de gestion de la sécurité de l'information (SGSI) afin d'obtenir la certification ISO 27001. L'entreprise devait également démontrer sa conformité au Règlement général sur la protection des données (RGPD). Bien que l'équipe fût consciente de ces exigences essentielles en matière de sécurité de l'information et de protection des données, l'entreprise ne disposait pas des ressources internes nécessaires pour mettre en œuvre efficacement la norme ISO 27001 et se conformer aux exigences du RGPD.

« Nous étions une start-up et souhaitions intégrer la sécurité de l'information à notre travail dès le début, car une certification était une exigence de nos fondateurs (Norwegian, Strawberry et Reitan Retail) et constituerait un avantage concurrentiel. »

Kristian Kolstad CPTO, Groupe Spenn

Kristian et l'équipe du Groupe Spenn savaient que la mise en place et l'amélioration continue d'un système de gestion de la sécurité de l'information (SGSI) robuste et certifié ISO 27001 permettraient à l'entreprise de protéger les données sensibles de ses clients et de satisfaire aux exigences de confiance des actionnaires prestigieux du Groupe Spenn. De plus, l'obtention de cette certification et la confiance associée à une gestion compétente de la sécurité de l'information constitueraient un avantage concurrentiel pour l'entreprise.

La solution

Le groupe Spenn a bénéficié de l'expertise et du soutien de Dunamis Technology, partenaire d'IO, en matière de responsable virtuel de la sécurité des systèmes d'information (vCISO). L'équipe de Dunamis Technology a identifié le besoin de l'entreprise d'obtenir rapidement une certification et a recommandé la plateforme de gestion de la conformité performante d'IO pour mettre en œuvre et gérer les politiques, les contrôles et la documentation complexes requis pour la certification ISO 27001.

« Spenn Group devait impérativement mettre en œuvre rapidement un système de sécurité performant, en tant que jeune entreprise, tout en évitant les méthodes manuelles et documentaires fastidieuses que certains de ses responsables avaient connues auparavant. Pour répondre à ce besoin, la plateforme IO a été choisie. Celle-ci fournissait des modèles et des processus intégrés permettant une mise en œuvre rapide. »

Ronny Stavem PDG et responsable des services de sécurité numérique, Dunamis Technology

Les modèles, processus et directives intégrés à la plateforme ont permis à Kristian et à l'équipe du groupe Spenn de mettre rapidement en place un système de gestion de la sécurité de l'information (SGSI) avec le soutien continu de Dunamis Technology.

« Le contenu préétabli des politiques, des contrôles et des cadres nous a permis de commencer la mise en œuvre de la norme ISO 27001 avec une partie importante de la documentation déjà complète, réduisant ainsi les frais administratifs. »

Kristian Kolstad CPTO, Groupe Spenn

Grâce à l'expertise de Dunamis Technology et au projet ISO 27001 de l'entreprise intégré à la plateforme IO conviviale et intuitive, Spenn Group a adopté une approche holistique et structurée pour la mise en œuvre de la norme ISO 27001, en travaillant de manière stratégique sur les exigences de certification.

« La plateforme IO a servi de point central pour relier des éléments essentiels tels que les risques, les actifs et les contrôles. Les intégrations nous ont permis de recueillir plus facilement des preuves, de gérer les risques et de fournir une piste d'audit claire. »

Kristian Kolstad CPTO, Groupe Spenn

Dunamis Technology a veillé à impliquer la direction de Spenn Group dès le début du processus et a organisé des ateliers pour accompagner sa progression. Grâce à son accompagnement en tant que RSSI externalisé, Kristian et l'équipe de Spenn Group ont pu mener à bien la certification ISO 27001 avec rapidité et assurance.

« Le soutien de Dunamis Technology nous a permis de mettre rapidement en place un cadre ISMS robuste, d'utiliser efficacement la plateforme IO et de gérer avec assurance les exigences complexes nécessaires à l'obtention de la certification ISO 27001. »

Kristian Kolstad CPTO, Groupe Spenn

Le Résultat

Le groupe Spenn a obtenu avec succès la certification ISO 27001 en 9 à 10 mois environ. Kristian estime qu'en utilisant IO et la technologie Dunamis, l'entreprise a atteint cet objectif en deux fois moins de temps qu'avec une approche manuelle basée sur les documents.

Pour Spenn Group, l'atout majeur de la plateforme IO résidait dans la possibilité de maîtriser la mise en œuvre du projet et d'obtenir une vision claire de la structure du SMSI. Kristian a déclaré : « Cette clarté a permis à l'équipe de comprendre les actions à entreprendre et leurs raisons, rendant ainsi l'ensemble du processus de certification gérable. »

La facilité d'utilisation et les intégrations clés de la plateforme IO ont également permis au groupe Spenn d'encourager l'engagement des employés en matière de sécurité de l'information, un principe fondamental de la conformité à la norme ISO 27001 et un élément que Dunamis Technology avait identifié comme vital pour la réussite continue.

« Un avantage inattendu mais important d'IO a été que la convivialité et la centralisation de la plateforme ont facilité son intégration organisationnelle. Cela a permis que les activités liées à la sécurité s'intègrent plus facilement et naturellement aux opérations quotidiennes et à la culture du groupe Spenn. Nous utilisons Slack pour la communication interne et l'intégration d'IO à Slack a favorisé l'implication de nos employés. »

Kristian Kolstad CPTO, Groupe Spenn

Kristian a également salué le soutien apporté par l'équipe de Dunamis Technology : « Leur expertise et leur approche visionnaire ont permis de gérer efficacement le processus complexe de mise en œuvre, ce qui a permis d'obtenir la certification en toute sérénité. »

Quelle est la prochaine étape?

L'équipe du groupe Spenn concentre ses efforts sur l'exploitation et la maintenance continues de son système de management de la sécurité de l'information (SMSI) afin de garantir le maintien de sa certification ISO 27001. L'entreprise envisage également la mise en œuvre de la norme ISO 9001 pour étendre ses systèmes de management à l'assurance qualité.