Certification ISO – Contraintes ou opportunité ?

Généralement

On entend sans cesse des récits alarmants sur les certifications standardisées, « des coûts exorbitants, une liberté d’action restreinte, des dommages collatéraux majeurs ». Quelle est la part de vérité dans ces récits ? Comment Voicepoint a-t-elle vécu ce processus en réalité ? Et où en sommes-nous aujourd’hui en tant qu’organisation certifiée ISO ?

« Voulez-vous vraiment vous infliger cela volontairement ? Cette question nous a été posée à plusieurs reprises lorsque nous avons annoncé, en 2022, notre intention d’obtenir une certification internationalement reconnue en sécurité de l’information (ISO 27001). La réponse est « oui ». Tout d’abord, le terme « volontairement » méritait selon nous d’être défini. Certes, nous avons choisi la voie de la certification ISO sans contrainte directe, mais d’un autre côté, la sécurité de l’information et la protection des données avaient pris une importance croissante pour nous depuis la mise en place de notre Voicepoint Cloud. Notre orientation vers le secteur de la santé, avec de nombreuses organisations publiques parmi nos clients, la gestion de données sensibles de patients et notre rôle d’auxiliaire au sens du secret médical, voici quelques-uns des facteurs qui exigeaient une preuve tangible de notre compétence et de notre engagement. Nous sommes ainsi arrivés à la conclusion qu’il n’y avait pas d’alternative pour Voicepoint : une certification était une déclaration forte et incontournable.

ISO 27001
ISO 27701

C’est ainsi que nous avons lancé concrètement notre projet de certification ISO 27001 au deuxième semestre de l’année 2022, avec courage et motivation. Nous avons mis en place en interne les structures, rôles et ressources nécessaires, évalué des partenaires externes pour le conseil et la certification, et suivi des formations.

Le choix des meilleurs partenaires externes était très important, mais l’attention interne avec un large engagement jusqu’au niveau de la direction était encore plus importante. En effet, lors de l’audit final, il est devenu évident que la crédibilité, en termes de culture de sécurité vécue, joue un rôle décisif. Ceux qui cherchent à obtenir une telle certification uniquement pour afficher le label risquent de perdre davantage de temps et de ressources, sans générer de véritable valeur ajoutée pour l’entreprise.

De notre côté, nous avons saisi cette opportunité pour combler les lacunes et ancrer la sensibilisation à la sécurité dans toute l’entreprise. Les définitions, les plans et la documentation sont importants, mais une mise en œuvre transparente et crédible est bien plus importante, et c’est précisément cette mise en œuvre qui a conduit à la réussite du projet.

Ainsi, Voicepoint a réussi à rester accueillante tout en mettant d’énormes obstacles aux hôtes indésirables, à maintenir un échange dynamique tout en régulant les flux de données et en étouffant dans l’œuf les tentatives d’intrusion criminelle, à sensibiliser l’équipe sans imposer un carcan trop rigide, à rendre les infrastructures techniques plus robustes sans rendre nos solutions moins conviviales et à établir des conditions claires avec nos clients sans renoncer à une approche de service empreinte de respect. Nous avons certes adapté notre manière de faire, mais nos valeurs n’ont pas changé.

Le referions-nous ? Sans hésiter, même si ce n’est clairement pas une promenade de santé. Forts du succès de notre première certification, nous avons également franchi un nouveau cap en 2024 en obtenant la certification ISO-27701, axée sur la protection des données. De plus, ces certifications ne sont pas des projets achevés, mais un processus continu, avec une exigence permanente d’amélioration, et cela s’aligne parfaitement avec l’état d’esprit de Voicepoint.