La transformation numérique des entreprises ne peut se faire que dans un environnement de confiance. Cette notion est essentielle à l’heure où les applications demandent de plus en plus de données personnelles, tout en respectant l’obligation du consentement de l’utilisateur ou de la personne dont on utilise les données. La récente réglementation, RGPD, a remis l’utilisateur au cœur du débat et l’entreprise doit trouver un juste équilibre entre business et sécurité. D’où l’idée de s’appuyer sur un tiers de confiance pour garantir ce lien.
Des certifications exigeantes
Derrière le mot confiance se cache le terme de conformité. Cette dernière, au-delà d’être un ensemble de règles applicables, est « avant tout un levier de développement interne et une gestion fine des risques de l’entreprise. Seule une telle démarche permet de garantir une véritable confiance des acteurs de l’écosystème d’Agarik. », explique Henley Saramandif, directeur technique et responsable sécurité chez Agarik. Pour garantir une compliance à valeur ajoutée et pertinente tout en répondant à ces exigences, la conformité passe par la certification, avec un ensemble de processus normalisés et vérifiés par un audit indépendant. Il existe plusieurs types de certification dans le domaine de l’IT et Agarik a décidé de se focaliser sur l’ISO 27001, le HDS et la 9001.
La norme de référence dans le domaine de la sécurité des systèmes d’information est l’ISO 27001, impliquant des mesures techniques et des bonnes pratiques pour protéger l’entreprise et ses clients de toute perte, vol ou altération de données.
« Le groupe Atos bénéficie déjà d’un grand nombre de certificats, il était normal qu’’Agarik s’engage dans cette continuité. Ainsi nous avons travaillé avec l’équipe conformité d’Atos afin d’être intégré au certificat du groupe », souligne le dirigeant
Autre certification sollicitée : HDS pour devenir hébergeur de données de santé.
L’effort précédemment fourni pour l’implémentation du SMSI permet d’atteindre de manière plus aisée les fondamentaux nécessaire à l’obtention d’une certification HDS.Par ailleurs, Henley Saramandif, souligne que l’offre Agarik est adossée, « au datacenter Atos certifié, hébergeur de cloud avec des infrastructures en France ». Un point important, car le niveau d’exigence de la certification HDS a été revu à la hausse en 2018, impliquant donc une revue des process et des audits supplémentaires.
Dans cette démarche d’amélioration continue, Agarik compte aussi affiner sa gouvernance en ciblant la norme ISO 9001 afin de garantir la satisfaction client et valoriser/certifier son haut niveau de qualité.
Sur le chemin de la compliance, Agarik se challenge afin d’obtenir la labellisation SecNumCloud, le référentiel de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
Accompagner les clients dans la conformité
La feuille de route d’Agarik est ambitieuse, mais pour Henley Saramandif, « la conformité est le nerf de la guerre pour accompagner les clients ». Auparavant « la conformité était vécue comme une contrainte, elle est désormais perçue comme un gage de confiance », reconnaît-il. Les efforts sur les certifications amènent au développement d’une offre d’accompagnement sur la conformité. Elle comprend plusieurs points tels que : « la protection des données, le security by design, travail de fond sur les plateformes d’hébergement, cartographier les points de vigilance et de contention pour les clients ».
Prendre le chemin de ces diverses certifications est certes ambitieux mais cela ne représente pas une véritable contrainte : les bonnes pratiques sont déjà là et bien souvent un héritage du passé d’Agarik et un retour d’expérience sur lequel Agarik a pu capitaliser.
Par exemple, les clients bénéficient déjà des apports de la cybersécurité d’Atos, les scans de vulnérabilités, les alertes sur les failles de sécurité suivi par le SOC d’Atos, etc.
Conformité et innovation.
Agarik travaille en étroite collaboration avec des startup afin d’accompagner les clients sur la portabilité de la donnée. Elle permet dès la conception des offres, de prendre en compte les notions de consentement et de portabilité : échange de donnée entre prestataire/partenaire de nos clients.
Au final, la conformité d’aujourd’hui construit l’économie de confiance de demain, pour laquelle Agarik veut être un acteur de l’émulation autour de la plus-value qu’apporte une réelle appropriation de la sécurité au quotidien.
Linkedin : https://www.linkedin.com/in/saramandif/