Cybersécurité Certification ISO 27 001 : une contrainte devenue un argument de vente

C’est à la demande d’un client important que Groupe CIS s’est lancé dans l’obtention de la certification ISO 27 001. La PME a dû se mettre rapidement à la tâche pour pouvoir conserver ce client. Mais elle a aussi découvert que le fruit de ses efforts allait lui rapporter bien plus que prévu.

Groupe CIS, une PME de 80 employés établie à Saint-Jérôme, spécialisée dans la conception de logiciels pour la distribution alimentaire et le transport, avait déjà des systèmes en place pour se protéger des cyberattaques. Mais un de ses clients majeurs a exigé de ses fournisseurs qu’ils obtiennent la certification ISO 27 001, un gage de respect de processus robustes destiné à protéger l’entreprise elle-même, mais aussi ses partenaires commerciaux.

« Les entreprises veulent s’assurer que leurs fournisseurs de services ne soient pas des portes d’entrée potentielles vers leurs propres systèmes », explique Éric Tessier, président de Groupe CIS, dont les logiciels équipent notamment les livreurs qui acheminent les produits alimentaires vers les épiceries.

La PME ne pouvait faire autrement. « Sans la certification, on pouvait perdre ce client » pointe le chef d’entreprise. D’ailleurs, peu de temps après cette première demande, un deuxième client majeur a formulé la même exigence. « Nous avons pris conscience que cette certification allait être de plus en plus requise », indique le président de cette PME, dont les clients sont de grandes entreprises du secteur alimentaire.

L’entreprise s’est mise au travail immédiatement. Groupe CIS a obtenu sa certification en un temps record — « un peu plus de quatre mois » —, en déployant des efforts considérables. La PME a investi une somme importante pour décrocher la certification, à laquelle elle ajoute un budget annuel récurrent de 150 000 $ consacré au maintien de cette norme.

Tout un chantier

L’investissement n’est pas seulement financier. Du temps et de l’énergie ont été investis, même si, au début, la tâche était floue. « Nous ne savions pas comment réagir ni par quoi commencer », reconnaît Éric Tessier. Après s’être entourée de spécialistes externes en cybersécurité, Groupe CIS a formé un comité de sécurité, composé de personnes des différents services, chargé de mener le processus de certification. L’entreprise a aussi créé un poste d’expert en cybersécurité.

Un travail important a été réalisé dans la description des processus. « Pour atteindre la norme, il ne s’agissait pas seulement de faire des changements dans la conception de nos logiciels, relève M. Tessier. Nous avons dû beaucoup documenter les processus internes. Souvent, ils étaient en place, mais ils n’étaient pas assez documentés ni suffisamment communiqués aux employés. » En cas d’attaque, ce sont ces processus qui permettent de repousser l’assaillant.

Les employés ont été formés et sont accompagnés. Chaque mois, des tests d’intrusion sont déclenchés. De la formation continue a été mise en place.

La cybersécurité a aussi pris un visage concret dans les locaux de l’entreprise. « Nous avons installé des portes à fermeture magnétique, des caméras de surveillance et un registre des entrées et sorties », détaille le dirigeant.

Le chef d’entreprise salue les efforts déployés pour atteindre l’objectif fixé par son client, que la PME entend désormais mettre de l’avant. « Aujourd’hui, nous nous servons de cette certification comme d’un avantage face à la compétition », se félicite Éric Tessier.