Comment Vinci Energies fait de la certification ISO 27001 un avantage concurrentiel

Gouvernance Risques et Conformité
Comment Vinci Energies fait de la certification ISO 27001 un avantage concurrentiel

DSI du groupe Vinci Energies, VINCI Energies Systèmes d’Information (VESI) délivre des services IT aux 1 700 entreprises du groupe Vinci. Elle fournit ainsi des services d'authentification, de messagerie, des outils collaboratifs, l'ERP ainsi que des applications Core Business à l'ensemble du groupe, chaque société pouvant avoir par ailleurs des spécificités liées à son métier. En charge de la cybersécurité, Bertrand Leclerc, CISO chez VINCI Energies Systèmes d’Information souligne : "La cybersécurité est de plus en plus fréquemment évoquée dans les appels d'offres auxquelles ces 1 700 sociétés répondent. Elles se tournent alors vers nous afin de répondre aux exigences de leurs clients et étayer leurs réponses aux appels d'offres. Nous avons vu cette tendance comme une opportunité pour nous de nous certifier ISO 27001 et leur apporter un argument supplémentaire dans leurs offres."

Un double objectif de gain en compétitivité et de montée en compétences

VESI n'est pas sous le coup d'une contrainte réglementaire qui l'obligerait à certifier sa gestion de la sécurité, une certification ISO 27001 permettra à l'ensemble des entreprises du groupe de se différencier de leurs concurrentes sur les appels d'offres mais c'est aussi un moyen pour l'équipe sécurité de poursuivre sa montée en puissance comme l'explique le CISO : "La certification était pour nous une belle opportunité de nous autoévaluer par rapport à une norme reconnue. Notre équipe sécurité n'a été véritablement constituée qu'en 2017, date à laquelle nous avons constitué une feuille de route cybersécurité. Cette certification était l'opportunité pour nous de savoir où nous en étions en termes de maturité." La feuille de route établie au moment de la création de l'équipe cybersécurité était déjà basée sur une auto-évaluation des activités de sécurité vis-à-vis de l'ISO 27001. Engager une véritable démarche de certification était l'occasion de faire un point objectif sur la mise en application de cette feuille de route.

Un chef de projet "conformité" est alors embauché afin de mener ce projet de certification et se porter garant du SMSI (Système de Management de la Sécurité de l'Information). Outre ce chef de projet, le DOSI fait le choix d'être accompagné dans sa démarche par un spécialiste des audits de sécurité et de l'accompagnement ISO 27001, Advens. Nicolas Pierre, Consultant en Sécurité chez Advens qui a fait partie de l'équipe projet Vinci Energie souligne : "L'accompagnement à la certification est une offre mature, avec de nombreux clients accompagnés dans leurs démarches ISO 27001. Certains y vont pour des raisons réglementaires, d'autres pour monter en compétence sur la cybersécurité ou encore cherche dans la certification un différenciant concurrentiel, comme c'est le cas de Vinci Energies. La certification peut être un véritable plus en terme business pour une entreprise, mais c'est aussi un cadre, une structure solide pour faire face à l'avenir et c'est sans doute le point le plus important d'une démarche de certification."

12 mois pour décrocher la certification ISO 27001

Bertrand Leclerc et Dominique Tessaro, DSI de Vinci Energies, établissent alors un plan de marche avec une date butoir : VESI doit décrocher sa certification dans les 12 mois. Le rôle d'Advens va être clé dans ce calendrier particulièrement serré : "Ce choix de nous faire accompagner était nécessaire car une norme telle que l'ISO 27001 représente un corpus documentaire riche, une bonne compréhension des exigences mais aussi une préparation à un audit n'était pas dans notre ADN" explique Bertrand Leclerc. "Nous avions besoin du regard extérieur d'un expert sur le sujet, au moins pour la phase de mise en conformité. L'équipe allouée au projet par Advens avait une forte expérience sur cette démarche de certification et la confiance s'est immédiatement installée."

Constituée de 4 consultants Advens, du chef de projet VESI et de Bertrand Leclerc, l'équipe projet peut s'appuyer sur l'expertise de 2 référents confirmés ISO 27001, les deux personnes qui ont par la suite mené l'audit interne préalable à l'audit de certification. Outre le travail sur les procédures de sécurité, le point le plus critique du projet fut de faire adhérer tous les collaborateurs de VESI au projet. "Nous sommes une entreprise de 550 personnes dans le groupe et c'est un projet d'entreprise" explique Bertrand Leclerc. "Il faut expliquer le pourquoi de la démarche et faire adhérer tout le monde sachant que comme dans toute entreprise, il y a du turn-over. Il faut donc expliquer la démarche aux nouveaux arrivants, auprès des prestataires externes. Nous avons organisé une dizaine d'événements lors desquels nous avons expliqué notre démarche et nous avons mis à contribution nous outils collaboratifs pour y parvenir." Si Bertrand Leclerc et l'équipe projet ont beaucoup œuvré pour expliquer leur projet et susciter l'engagement des collaborateurs, ils avaient un allié de poids, le sponsorship actif de leur DSI. Nicolas Pierre souligne l'importance énorme du soutien de la direction dans le cas de projet de certification ISO 27001 : "Une certification est un projet d'entreprise qui ne peut aboutir si elle repose sur la  volonté du seul RSSI. Une certification ISO, c'est avant tout la construction d'un système de management qui nécessite l'implication de tous les métiers, que ce soit les RH, l'IT, les achats, le juridique, etc. Mais ce qui est le plus important, c'est l'engagement de la direction et c'est le premier point de la norme. Les projets de certification qui se déroulent le mieux sont ceux où la direction est fortement engagée dans la démarche et soutient le projet, comme ce fut clairement le cas chez Vinci Energies."

Si tout le projet de préparation à la certification a pu être mené à bien avant la crise sanitaire du COVID-19, l'audit de certification par l'AFNOR, initialement prévu en mars 2020 sur les sites de VESI de Saint-Denis en région parisienne et au Mans a dû être replanifié en juillet. Néanmoins, les audits ont finalement pu avoir lieu sans autre forme de complication en tenant compte des protocoles sanitaires et l'issue s'est avérée très satisfaisante pour Bertrand Leclerc et son équipe : VESI a décroché sa certification haut la main, sans aucun écart signalé de la part de l'auditeur, un verdict extrêmement rare. Nicolas Pierre commente ce résultat : "De tous les projets sur lesquels j'ai été amené à intervenir, ce fut l'engagement de la direction le plus actif que j'ai pu voir, avec un DSI qui s'est vraiment impliqué et qui a su faire passer les bons messages auprès des collaborateurs et il a été présent tout au long de la construction du système de management. Ce résultat a été à la hauteur de cet engagement."

Une certification ISO 27001 peut aussi être un projet d'innovation

Si les certifications ISO ont la réputation d'être des projets longs, complexes et pour tout dire rébarbatifs, Nicolas Pierre bouscule ces idées reçues : "Une certification n'est pas un carcan extrêmement rigide auquel il faut se plier. Le processus de certification n'est pas fastidieux en soi. On peut rendre les choses intéressantes et innovantes car il y a mille et une manières de répondre aux exigences de la norme. Celle-ci présente l'avantage d'être assez large et générique dans sa rédaction pour que l'on puisse innover, sans nécessairement remettre en cause ce qui a pu être mis en place jusque-là."

Pour le consultant, une certification ISO 27001 vient couronner une montée en compétence de toutes les équipes impliquées et de tous les métiers, ce que les  entreprises ne perçoivent pas nécessairement au début de la démarche. La certification est un projet qui est capable de fédérer toute l'entreprise et avec un beau résultat à la clé. Et si un projet de certification ISO 27001 ne se mène pas en 3 mois, il doit être vu comme un projet sur le long terme qui va permettre à l'entreprise d'entrer dans un cycle d'amélioration continue de sa sécurité. Le DOSI de Vinci Energies Systèmes d’Information compte bien poursuivre sur sa lancée : "Notre challenge est désormais de conserver cette dynamique et ne pas relâcher l'effort. L'objectif à court terme est de maintenir la pression en planifiant les prochains comités, préparer le prochain audit interne et faire évoluer le volet documentaire. D'autre part, si l'audit n'a pas fait ressortir de non-conformité, mêmes mineures, ce qui était très satisfaisant, il a fait ressortir quelques points sensibles, autant d'axes d'amélioration que nous devons intégrer à notre plan d'action. Corriger ces points nous permettra d'améliorer encore nos processus et donc la cybersécurité du groupe" conclut Bertrand Leclerc.

Benjamin Leroux, Innovation & Marketing, Advens