Nous sommes fiers d'annoncer qu'Aikido Security a récemment obtenu la certification ISO 27001:2022. Il s'agit d'une étape importante pour nous, qui démontre notre engagement en matière de sécurité de l'information.
Qu'est-ce que la norme ISO 27001:2022 ?
ISO 27001 est une norme mondialement reconnue pour l'établissement et la certification d'un système de gestion de la sécurité de l'information (SGSI). La version 2022 de cette certification garantit qu'Aikido Security est aligné sur les meilleures pratiques actuelles en matière de gestion de la sécurité de l'information. Nous avons spécifiquement choisi la version 2022 (par rapport aux versions 2013 et 2017), car cette nouvelle version se concentre davantage sur le codage sécurisé, la détection des menaces, etc. Ce sont des éléments que nous considérons comme importants et pertinents pour un éditeur de logiciels.
L'obtention de la conformité ISO 27001:2022 est un accomplissement significatif pour Aikido Security. Elle souligne notre engagement à fournir des solutions sécurisées et fiables à nos clients.
WillemDelbare, PDG d'Aikido Security
Qu'est-ce qui a motivé l'Aïkido à obtenir la certification ISO 27001 ?
Nous sommes un challenger dans le domaine de la sécurité et l'une des premières choses que nous demandons à nos nouveaux clients, c'est de nous donner un accès en lecture à leur base de code. Ce n'est pas rien. Et nous comprenons - et acceptons - que ce n'est pas une mince affaire.
Pour que les clients nous confient confortablement leur base de code, ils doivent nous faire confiance en tant qu'entreprise et en tant que produit. La mise en conformité avec la norme ISO27001 constitue un grand pas en avant dans la construction et la preuve de cette confiance.
Ce que nous avons appris sur le chemin de la conformité à la norme ISO 27001
Dans un prochain article de blog, je présenterai les principaux enseignements que j'ai tirés de cette expérience, mais je voudrais profiter de cette occasion pour donner un bref aperçu de notre parcours.
Notre parcours ISO 27001:2022
Nous avons suivi l'ensemble du processus en six mois environ. Nous avions déjà mis en œuvre la norme SOC 2, et nous avions donc déjà mis en place de nombreuses politiques, documents et meilleures pratiques. Cela nous a permis de les réutiliser et de les appliquer en grande partie à notre ISO.
Parce que nous croyons fermement qu'il faut utiliser le bon outil pour le travail, nous avons saisi l'occasion d'adopter une approche moderne et d'utiliser Vanta, qui automatise une grande partie du travail nécessaire pour obtenir la norme ISO 27001.
L'obtention de la norme ISO 27001:2022 demande de la patience et de l'engagement. Il est essentiel de s'entourer de partenaires fiables et d'acquérir des connaissances au préalable.
Roeland Delrue, COO & CRO d'Aikido Security
Le processus de haut niveau
1. Audit interne (pré-audit)
Vous pouvez considérer l'audit interne comme une "répétition générale" ou un "audit fictif", afin de vous assurer que vous êtes prêt à effectuer les "vrais" audits. L'audit interne permet de s'assurer que vous n'avez pas manqué de choses évidentes auxquelles vous ne pourriez pas remédier lors des étapes ultérieures.
Petit conseil : utilisez un bon auditeur interne ou externe. Cela vous aide vraiment à vous mettre en place correctement. À moins que vous ne disposiez d'une expérience pertinente et avérée en matière d'ISO, il est probablement préférable de faire appel à un auditeur préalable externe. L'expérience de ce dernier s'avérera très précieuse.
2. Audit de l'étape 1
L'étape 1 est en grande partie un "audit sur table" ou un examen de la documentation
Cet audit consiste en un examen approfondi de la documentation. Un auditeur externe de l'ISO 27001 examine les politiques et les procédures pour s'assurer qu'elles répondent aux exigences de la norme ISO et du système de gestion de la sécurité de l'information (SGSI) de l'organisation.
3. Audit de l'étape 2
L'étape 2 est un audit complet du système avec de nombreux tests de contrôle
L'auditeur effectue des tests pour vérifier que le système de gestion de la sécurité de l'information (SGSI) a été correctement conçu et mis en œuvre et qu'il fonctionne correctement. L'auditeur évalue également la justesse et l'adéquation des contrôles de l'organisation afin de déterminer si les contrôles ont été mis en œuvre et fonctionnent efficacement pour répondre aux exigences de la norme ISO 27001.
4. La certification
Une fois que vous avez remédié à vos non-conformités ou que vous avez élaboré un plan d'action, vous êtes prêt pour la validation. Les non-conformités ISO 27001 sont classées en trois catégories : mineures, majeures ou opportunités d'amélioration (AIO). Il est bien sûr essentiel de montrer que vous avez remédié à toutes les non-conformités majeures ou que vous êtes sur la bonne voie pour y remédier.
Et puis... il est temps d'obtenir votre certificat 🎉🥳
Combien de temps faut-il pour devenir conforme à la norme ISO 27001 ?
Vous ne pouvez pas le faire en moins de deux mois. Et cela suppose que tout soit prêt, y compris un pentest et un auditeur.
Même dans ce cas, vous aurez peut-être besoin de quelques mois pour vous assurer que vous rencontrez suffisamment d'événements liés à la sécurité de l'information, car certains processus ne peuvent avoir lieu que lorsqu'un certain événement se produit (par exemple, l'intégration ou la désinsertion d'un employé).
Vous devez également démontrer que vous pouvez remédier aux non-conformités et que vous êtes en mesure de recueillir des preuves. Ce processus implique l'identification de l'événement, son enregistrement et sa classification, ainsi qu'une documentation complète de l'événement de sécurité de l'information.
Combien coûte la mise en conformité avec la norme ISO 27001 ?
Selon le degré d'approfondissement du pré-audit et du pentest, l'ensemble du processus vous coûtera généralement entre 20 000 et 50 000 USD.
Vous devrez payer les éléments suivants :
- Pré-auditeur
- Pentest (vous pouvez vous appuyer sur d'autres pistes de conformité, par exemple si vous en faites déjà un pour SOC 2)
- Licence de la plate-forme de conformité (nous recommandons vivement de l'utiliser)
- Auditeur
- Licences de scanner de vulnérabilités et/ou de logiciels malveillants (par exemple, Aikido Security)
Le coût dépend fortement de multiples facteurs, dont les principaux sont les suivants :
- La taille de votre entreprise (si vous avez beaucoup d'employés, de processus, de bureaux, de développeurs,... les coûts d'audit augmentent considérablement)
- Coût du pentest (3 à 30 000 USD, en fonction du type de pentest que vous réalisez et de la personne qui le réalise)
- Profondeur des audits
- Plate-forme de conformité (par exemple Vanta)
ISO 27001:2022 gestion de la vulnérabilité technique
Vous êtes sur la voie de la certification ISO 27001:2022 ? Aikido Security répond à tous les besoins techniques de gestion des vulnérabilités pour les applications ISO 27001:2022. Nous nous synchronisons également avec les plateformes de contrôle de conformité (comme Vanta) pour garantir que vos informations sur les vulnérabilités sont toujours à jour. Cela signifie que vous pouvez compter sur une évaluation précise des risques et une remédiation efficace.
Demander notre rapport
N'hésitez pas à demander notre propre rapport ISO 27001:2022 directement dans notre centre de confiance.
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
