Client
Activités
- Acteur majeur de la transition énergétique et de la transformation numérique
- 85700 collaborateurs
- 1800 entreprises
Défis
- Obtenir la certification ISO 27001
- Mener à bien le projet en 12 mois
- Faire adhérer l’équipe et la direction
VINCI Energies Systèmes d’Information (VESI), c’est la DSI du groupe VINCI Energies, qui délivre donc des services IT aux 1 700 entreprises du groupe VINCI. Services d’authentification, de messagerie, outils collaboratifs, ERP et applications Core Business sont ainsi déployés à l’ensemble du groupe, avec des spécificités métier pour chaque société.
La cybersécurité est évidemment fondamentale pour toutes ces activités, c’est pourquoi VESI a fait le choix de passer la certification ISO 27001. Un projet d’ampleur, mené main dans la main avec les équipes Advens…
“La cybersécurité est de plus en plus fréquemment évoquée dans les appels d’offres auxquels nos 1 700 sociétés répondent. Elles se tournent vers nous pour faire face aux exigences de leurs clients. Nous certifier ISO 27001, c’est apporter un argument supplémentaire dans leurs offres.”
Bertrand Leclerc • CISO chez VINCI Energies Systèmes d’Information
La certification ISO 27001 pour un double objectif : gain en compétitivité et montée en compétences
Aucune contrainte réglementaire ne poussait VINCI Energies Systèmes d’Information à certifier sa gestion de la sécurité. L’idée était plutôt de permettre :
- aux entreprises du groupe de se différencier de leurs concurrents
- à l’équipe sécurité de poursuivre sa montée en puissance
“C’était l’opportunité de savoir où nous en étions, en nous auto-évaluant par rapport à une norme reconnue. Notre équipe sécurité n’a été constituée qu’en 2017, date à laquelle nous avons constitué une feuille de route cybersécurité.”
Bertrand Leclerc • CISO chez VINCI Energies Systèmes d’Information
La feuille de route cybersécurité était déjà basée sur une auto-évaluation des activités de sécurité vis-à-vis de la norme ISO 27001. Engager la démarche de certification permettait de faire un point objectif sur sa mise en application.
Une équipe projet riche en expertises
Qui dit certification, dit organisation. Un chef de projet « conformité » est embauché, pour mener cette certification et se porter garant du Système de Management de la Sécurité de l’Information (SMSI). En plus de cette recrue, le directeur opérationnel des systèmes d’information (DOSI) choisit de se rapprocher d’un spécialiste des audits de sécurité et de l’accompagnement ISO 27001. Les équipes Advens sont ainsi mobilisées pour guider VESI dans sa démarche.
“Nous avions déjà accompagné de nombreux clients dans leurs démarches ISO 27001. Certains le font pour des raisons réglementaires, d’autres pour monter en compétences sur la cybersécurité ou chercher un réel différenciant concurrentiel, comme VINCI Energies. Mais c’est aussi un cadre, une structure solide pour l’avenir !”
Nicolas Pierre • Expert Conformité chez Advens, membre de l’équipe projet VINCI Energies
Le défi : 12 mois pour obtenir la certification ISO 27001 !
Le projet est lancé. Bertrand Leclerc et Dominique Tessaro, DSI de VINCI Energies, établissent un plan de marche avec une date butoir : VESI dispose de 12 mois pour obtenir sa certification ! Un calendrier serré, dans lequel le rôle d’Advens est déterminant.
“Nous faire accompagner était nécessaire : la norme ISO 27001 représente un corpus documentaire riche et nécessite une bonne compréhension des exigences mais aussi une préparation à un audit qui n’était pas dans notre ADN. Nous avions besoin d’un regard extérieur expert. L’équipe Advens avait une forte expérience sur cette démarche, et la confiance s’est immédiatement installée.”
Bertrand Leclerc • CISO chez VINCI Energies Systèmes d’Information
Un fort besoin d’adhésion au projet
L’équipe, constituée de 4 consultants Advens, du chef de projet VESI et de Bertrand Leclerc, a pu s’appuyer sur l’expertise de 2 référents confirmés ISO 27001. Ceux-ci ont mené l’audit interne, préalable à l’audit de certification. Le point le plus critique, outre le travail sur les procédures de sécurité ? C’était sans aucun doute de faire adhérer tous les collaborateurs VESI au projet.
“C’était un projet d’entreprise… constituée de 550 personnes dans le groupe ! Il fallait expliquer les raisons de la démarche et faire adhérer tout le monde en sachant que, comme dans toute entreprise, il y a du turn-over. Il fallait donc intégrer les nouveaux arrivants. Une dizaine d’événements ont été organisés pour cela, avec l’aide de nos outils collaboratifs.”
Bertrand Leclerc • CISO chez VINCI Energies Systèmes d’Information
L’importance du soutien de la direction
Bertrand Leclerc et l’équipe projet ont œuvré pour expliquer le projet et susciter l’engagement. Mais ils ont pu bénéficier d’un allié de poids : le sponsorship actif de leur DSI. Et le résultat s’est avéré plus que satisfaisant : VESI a décroché sa certification haut la main, sans aucun écart signalé de la part de l’auditeur.
Un verdict extrêmement rare.
“De tous les projets sur lesquels je suis intervenu, ce fut l’engagement de la direction le plus actif, avec un DSI qui s’est vraiment impliqué et qui a su faire passer les bons messages auprès des collaborateurs. Il a été présent tout au long de la construction du système de management. Le résultat a été à la hauteur de cet engagement !”
Nicolas Pierre • Expert Conformité chez Advens, membre de l’équipe projet VINCI Energies
La suite : plus qu’une certification, un projet d’innovation à long terme…
Une certification ISO 27001 n’est pas qu’un carcan auquel il faut se plier. Le processus n’a rien eu de fastidieux, car il existait mille et une manières de répondre aux exigences de la norme, qui est assez large et générique dans sa rédaction pour que les équipes cyber puissent innover, sans nécessairement remettre en cause ce qui avait pu être mis en place jusque-là au sein du groupe VINCI.
La certification ISO 27001 : un projet fédérateur à poursuivre
Une certification ISO 27001 vient couronner la montée en compétence de toutes les équipes impliquées et de tous les métiers, ce qui n’est pas toujours perçu par les entreprises au démarrage de la démarche.
Un tel processus de certification doit être vu comme un projet à long terme, qui va permettre à l’entreprise d’entrer dans un cycle d’amélioration continue de sa sécurité. Et le DSI de VINCI Energies Systèmes d’Information compte bien poursuivre sur sa lancée…
“Le challenge est désormais de ne pas relâcher l’effort. À court terme, nous devons tenir le rythme en planifiant les prochains comités, en préparant le prochain audit interne et en faisant évoluer le volet documentaire. Si l’audit n’a pas fait ressortir de non-conformité, mêmes mineures, il a fait ressortir quelques points sensibles : autant d’axes d’amélioration que nous devons intégrer à notre plan d’action pour continuer à renforcer la cybersécurité du groupe.”
Bertrand Leclerc • CISO chez VINCI Energies Systèmes d’Information
