J'ai une nouvelle très excitante à vous annoncer! Notre système de gestion de la sécurité de l'information (SMSI) a officiellement obtenu sa certification pour la norme ISO/IEC 27001: 2013 le 1er mars dernier.
Nous avons franchi cette étape importante grâce au travail exceptionnel de notre équipe. De la direction jusqu’aux développeurs, tout le monde a mis la main à la pâte pour créer un environnement sécurisé et résilient pour le développement de nos produits et services.
À propos de la norme ISO/IEC
La norme ISO/IEC comprend les clauses SMSI suivantes. Elles sont auditées lors du processus de certification :
-
Contexte de l’entreprise
-
Direction
-
Planification
-
Soutien
-
Opération
-
Évaluation des performances
-
Amélioration
À tout ça s’ajoute l’annexe A, qui contient une liste complète de contrôles de sécurité de l'information à mettre en œuvre, qui vont de la vérification des antécédents à la cryptographie. Il est possible, si on a une bonne justification, de faire retirer un ou plusieurs de ces contrôles lors de l’audit. Nous avons toutefois décidé de les inclure tous!
Par souci de transparence, je tiens également à préciser que la norme ISO/IEC 27001: 2013 ne concerne pas la sécurité d'un produit ou service précis. Elle couvre uniquement le cadre et/ou système par lequel notre entreprise gère la sécurité de l'information dans le développement et le soutien de nos produits et services. Pour plus de détails sur la sécurité d'un produit ou d’un service spécifique, on vous invite à consulter les documents accessibles sur notre site Web ou à demander plus d’informations via nos canaux de vente ou d'assistance.
Ce que ça signifie pour nos clients et partenaires
On n’a pas obtenu la certification ISO/IEC 27001: 2013 juste pour s’en vanter! C’est la preuve documentée pour nos clients et partenaires qu’on s’engage réellement à fournir des produits et services sécuritaires et qu’on fait preuve d’une diligence raisonnable dans le traitement des informations.
Notre certificat ISO/IEC 27001: 2013 est accessible sur notre site web [téléchargez le PDF] pour mieux répondre à vos exigences en matière d'audit et de gestion des risques. On espère réellement que, quand viendra le temps de travailler ensemble, ça facilitera votre processus d'approvisionnement et vos décisions en matière de risque.
Notre SMSI sera audité chaque année pour valider sa conformité à la norme ISO/IEC 27001: 2013. On s’engage à maintenir notre conformité et même à aller au-delà des exigences de la norme.
Un mot de notre directeur de la sécurité, Martin Lemay :
Quel parcours! Réussir deux audits de conformité majeurs deux années de suite (ISO 27001: 2013 en 2021 et SOC 2 de type II en 2020), c’est tout un accomplissement. Il a fallu que toute notre équipe fasse de la sécurité informatique la priorité absolue. Quand je fais affaire avec un fournisseur ou un partenaire, je m'attends toujours à une certaine transparence par rapport à leurs pratiques en matière de sécurité. Comme je m’attends à ça d'eux, je pense qu’ils devraient s’attendre à ça de notre part.
Ceci étant dit, obtenir la certification de la norme ISO 27001: 2013, ce n'est pas une garantie contre les incidents. Vous avez cependant l’assurance qu’on gère efficacement les risques, conformément à une norme approuvée et acceptée.
Je suis fier de travailler pour une entreprise qui est véritablement engagée envers la transparence, qui agit avec diligence raisonnable et qui porte une attention rigoureuse à la sécurité de l'information. Sachez qu’on ne va pas s’asseoir sur notre exploit. On va retrousser nos manches et progresser vers d'autres étapes importantes pour améliorer la sécurité de l'information cette année. Restez à l’affût!