Nous sommes fiers d'annoncer qu'Aikido Security a récemment obtenu la certification ISO 27001:2022. C'est une étape majeure pour nous et cela démontre notre engagement envers la sécurité de l'information.
Qu'est-ce que l'ISO 27001:2022 ?
ISO 27001 est une norme mondialement reconnue pour l'établissement et la certification d'un Système de Management de la Sécurité de l'Information (SMSI). La version 2022 de cette certification garantit qu'Aikido Security est aligné sur les meilleures pratiques actuelles en matière de gestion de la sécurité de l'information. Nous avons spécifiquement choisi la version 2022 (par rapport aux versions 2013 et 2017), car cette nouvelle version se concentre davantage sur le codage sécurisé, la détection des menaces, etc. Ce sont des éléments que nous considérons importants et pertinents pour une entreprise de logiciels.
L'obtention de la conformité ISO 27001:2022 est une réalisation significative pour Aikido Security. Elle souligne notre dévouement à fournir des solutions sécurisées et fiables à nos clients.
Willem Delbare, PDG d'Aikido Security
Qu'est-ce qui a motivé Aikido à poursuivre la certification ISO 27001 ?
Nous sommes un acteur challenger dans le domaine de la sécurité et l'une des premières choses que nous demandons à nos nouveaux clients est de nous donner un accès en lecture à leur codebase. C'est un engagement important. Et nous comprenons – et sommes d'accord – que c'est un engagement important.
Pour que les clients nous confient leur base de code en toute confiance, ils doivent nous faire confiance en tant qu'entreprise et faire confiance à notre produit. Devenir conforme à la norme ISO27001 est un grand pas en avant pour établir et prouver cette confiance.
Ce que nous avons appris sur le chemin de la conformité ISO 27001
Dans un futur article de blog, je présenterai mes principaux enseignements, mais je souhaite profiter de cette occasion pour partager quelques brèves réflexions sur notre parcours.
Notre parcours ISO 27001:2022
Nous avons mené à bien l'ensemble du processus en environ six mois. Nous avions déjà mis en œuvre SOC 2, nous disposions donc déjà de nombreuses politiques, documents et bonnes pratiques. Cela nous a permis de réutiliser et d'appliquer une grande partie de cela à notre ISO.
Parce que nous croyons fermement à l'utilisation du bon outil pour la tâche, nous avons saisi l'opportunité d'adopter une approche moderne et avons utilisé Vanta, qui automatise une grande partie du travail nécessaire à l'obtention de l'ISO 27001.
L'obtention de la certification ISO 27001:2022 exige patience et engagement. Il est essentiel de s'entourer de partenaires fiables et de recueillir des connaissances au préalable.
Roeland Delrue, COO & CRO d'Aikido Security
Le processus de haut niveau
1. Audit interne (pré-audit)
Vous pouvez considérer l'audit interne comme une 'répétition générale' ou un 'audit blanc', pour vous assurer que vous êtes prêt pour les 'vrais' audits. L'audit interne garantit que vous n'avez pas manqué d'éléments évidents que vous ne seriez pas en mesure de corriger ultérieurement.
Astuce rapide : Utilisez un bon pré-auditeur interne ou externe. Cela vous aide vraiment à vous organiser correctement. À moins d'avoir une expérience pertinente et avérée en ISO, il est probablement préférable d'engager un pré-auditeur externe. Tirer parti de leur expérience s'avérera très précieux.
2. Audit de phase 1
La phase 1 est principalement un “audit sur table” ou une revue de la documentation
Cet audit consiste en un examen approfondi de la documentation. Un auditeur externe ISO 27001 examine les politiques et procédures pour s'assurer qu'elles répondent aux exigences de la norme ISO et du Système de Management de la Sécurité de l'Information (SMSI) de l'organisation.
3. Audit de phase 2
La phase 2 est un audit système complet avec de nombreux tests de contrôle
L'auditeur effectue des tests pour vérifier que le Système de Management de la Sécurité de l'Information (SMSI) a été correctement conçu, mis en œuvre et fonctionne correctement. L'auditeur évaluera également l'équité et la pertinence des contrôles de l'organisation pour déterminer si les contrôles ont été mis en œuvre et fonctionnent efficacement pour répondre aux exigences de la norme ISO 27001.
4. Certification
Après avoir remédié ou élaboré un plan d'action pour vos non-conformités, vous êtes prêt pour la validation. Les non-conformités ISO 27001 sont classées comme mineures, majeures ou opportunités d'amélioration (OFI). Il est bien sûr essentiel de montrer que vous avez remédié ou que vous pouvez clairement démontrer que vous êtes en voie de remédier à toutes les non-conformités majeures.
Et ensuite... il est temps d'obtenir votre certificat 🎉🥳
Combien de temps faut-il pour devenir conforme à la norme ISO 27001 ?
Vous ne pouvez pas le faire en moins de deux mois. Et cela suppose que vous ayez tout prêt, y compris un pentest et un auditeur.
Même alors, vous pourriez avoir besoin de quelques mois pour vous assurer de rencontrer suffisamment d'événements de sécurité de l'information, car certains processus ne peuvent avoir lieu que lorsqu'un certain événement se produit (par exemple, l'intégration ou le départ d'un employé).
Vous devez également montrer que vous pouvez remédier aux non-conformités et démontrer que vous êtes capable de collecter des preuves. Ce processus implique l'identification de l'événement, sa journalisation et sa classification, ainsi que la documentation minutieuse de l'événement de sécurité de l'information.
Combien coûte la conformité à la norme ISO 27001 ?
Selon la profondeur du pré-audit et du pentest, l'ensemble du processus vous coûtera généralement entre 20 000 et 50 000 USD.
Vous devrez prendre en charge les coûts suivants :
- Pré-auditeur
- Pentest (vous pouvez en tirer parti d'autres pistes de conformité, par exemple, si vous en réalisez déjà un pour SOC 2)
- Licence de plateforme de conformité (nous recommandons vivement son utilisation)
- Auditeur
- Licences de scanners de vulnérabilités et/ou de malwares (par exemple Aikido Security)
Le coût dépend fortement de multiples facteurs, les principaux étant :
- La taille de votre entreprise (Si vous avez beaucoup d'employés, de processus, de bureaux, de développeurs,... les coûts d'audit augmentent considérablement)
- Coût du pentest (3 000 à 30 000 USD, selon le type de pentest effectué et l'exécutant)
- Profondeur des audits
- Plateforme de conformité (par ex. Vanta)
ISO 27001:2022 gestion technique des vulnérabilités
Sur votre propre chemin vers la certification ISO 27001:2022 ? Aikido Security répond à tous les besoins techniques de gestion des vulnérabilités pour les applications ISO 27001:2022. Nous nous synchronisons également avec des plateformes de surveillance de la conformité (comme Vanta) pour garantir que vos informations sur les vulnérabilités sont toujours à jour. Cela signifie que vous pouvez compter sur une évaluation précise des risques et une remédiation efficace.
Demander notre rapport
N'hésitez pas à demander notre propre rapport ISO 27001:2022 directement dans notre trust center.
Sécurisez votre logiciel dès maintenant.
.jpg)
