Interrogez n’importe quel expert en cybersécurité, il vous citera une norme en particulier : ISO 27001. Cette norme internationale fournit un cadre global couvrant l’élaboration, la mise en œuvre, la maintenance et l’amélioration continue d’un système de gestion de la sécurité de l’information (SGSI).
Elle met l’accent sur l’identification et la gestion des risques, afin de garantir la confidentialité, l’intégrité et la disponibilité des informations, ainsi que la bonne gestion du SGSI, dès sa conception. Sur cette base, les organisations évaluent les risques, mettent en place des contrôles, et alignent leurs processus sur leurs besoins et les exigences légales ou réglementaires. Cette norme aide les entreprises de toutes tailles et de tous secteurs à protéger les données sensibles, à instaurer la confiance avec les parties prenantes et à réduire les risques en matière de sécurité.
Mais elle n’est qu’une norme minimale pour la gestion de la sécurité des informations. Chez Kbrw, nous faisons mieux, et nous en sommes fiers.
Pourquoi les solutions d’orchestration de la supply chain doivent-elles être certifiées ISO 27001?
Une organisation qui obtient la certification ISO 27001 démontre son respect des bonnes pratiques en matière de gestion de la sécurité des informations. Elle rassure ainsi ses clients et ses partenaires, mais aussi les autorités réglementaires. De même, lorsqu’une organisation s’appuie, au cœur de son activité, sur une solution d’un fournisseur certifié ISO 27001, elle peut prouver à ses clients en aval qu’elle fait tout le nécessaire pour garantir la sécurité de leurs données.
On pense ici à tout système de gestion des commandes (OMS), de gestion des entrepôts (WMS), et autres solutions d’optimisation de la supply chain, qui sont essentielles à la réussite d’une entreprise. Ces systèmes traitent des informations sensibles : données clients, informations de paiement, historiques des commandes... Il est donc essentiel d’en garantir la sécurité pour maintenir confiance, conformité et continuité opérationnelle. Par ailleurs, les informations relatives aux stratégies de stockage, aux stocks et aux réapprovisionnements peuvent être considérées comme confidentielles et vitales pour le bon fonctionnement d’une entreprise.
Ces systèmes et solutions sont aussi des éléments clés de la supply chain, que de nombreuses organisations considèrent déjà comme le maillon le plus faible de leur architecture de sécurité. Il est donc essentiel de garantir la sécurité des informations utilisées par ces systèmes pour maintenir, comme on l’a dit, la confiance, la conformité, la continuité opérationnelle, mais aussi la compétitivité de l’entreprise.
On peut par conséquent raisonnablement supposer que toute organisation envisageant l’achat et l’utilisation d’un OMS, d’un WMS ou de toute autre solution de gestion de la supply chain portera la plus grande attention à la certification ISO 27001 d’un possible fournisseur. Passons donc en revue quelques points couverts par cette certification :
- Protection des données : la norme ISO 27001 exige que les fournisseurs certifiés garantissent la confidentialité, l’intégrité et la disponibilité des données sensibles stockées dans l’OMS, qu’elles concernent les clients ou les activités.
- Gestion des risques : la norme ISO 27001 permet d’identifier et d’atténuer les risques (violations de données, fraude, accès non autorisé, etc.).
- Conformité réglementaire : la norme ISO 27001 aide au respect des exigences légales et réglementaires en matière de protection des données, notamment du RGPD, du CCPA (California Consumer Privacy Act) et du PCI-DSS (Payment Card Industry Data Security Standard).
- Continuité des activités : en s’appuyant sur un fournisseur certifié ISO 27001 et sur les solides mesures de sécurité que cette certification implique, une entreprise se protège au mieux contre les possibles attaques de cybersécurité, ransomwares ou autres, susceptibles de perturber ou même d’arrêter son activité.
Solutions Kbrw : secure by design
Le responsable de la sécurité chez Kbrw, Tommy Vayron, souligne : « Kbrw est certifié ISO 27001, un critère majeur dans la décision d’investissement pour nombre de nos prospects et clients. Il est vrai que la norme ISO 27001 couvre le système de gestion, et non les mesures de sécurité technique, alors que les deux aspects sont importants ; nous répondons très volontiers aux questions de nos prospects et de nos clients sur les mesures que nous prenons en matière de sécurité. »
Kbrw intègre les questions de sécurité dans ses processus de conception et de développement, et dans les caractéristiques des produits. La direction de l’entreprise fait preuve d’un solide engagement en faveur d’une culture de la sécurité, en veillant à ce que des revues de gestion aient lieu au moins une fois par trimestre pour s’assurer de l’efficacité des mesures dans ce domaine. Cet investissement des strates décisionnaires de la société est essentiel.
Pour mesurer la qualité de son approche de conception sécurisée, Kbrw charge des testeurs internes et externes d’essayer de compromettre ses produits, par le biais de tests de pénétration et d’audits.
« Grâce à cet engagement en matière de sécurité, soutenu au plus haut niveau de l’organisation, nous faisons partie des fournisseurs les plus avancés sur le marché des OMS et des solutions d’optimisation de la supply chain, précise Tommy Vayron. Nous n’avons eu aucun mal à faire valider cette approche, malgré les coûts supplémentaires. »
« Nous sommes bien conscients des effets sur nos solutions, et sur nos clients, de possibles vulnérabilités dans la supply chain. C’est un sujet majeur pour beaucoup d’organisations, nous sommes donc très proactifs dans ce domaine. Pour ce faire, nous veillons à limiter et à surveiller de près les dépendances dans nos choix technologiques. »
Nouveaux défis et nouvelles opportunités en matière de conformité
Mais la norme ISO 27001, centrée sur les systèmes de gestion, n’est pas la seule norme en vigueur. Le RGPD notamment, mais aussi d’autres réglementations nationales et internationales, imposent des caractéristiques technologiques supplémentaires, avec à la clé de potentiels nouveaux défis à relever.
Le choix de Kbrw de gérer le développement des produits avec des technologies maison, en grande partie, garantit un meilleur contrôle sur les questions de sécurité et de conformité, et réduit les coûts à ajouter pour le respect de réglementations spécifiques sur certains marchés.
En Chine par exemple, où nous venons de nous lancer pour soutenir l’activité internationale de nos clients, nous avons mis en place un modèle d’architecture spécifique qui s’intègre parfaitement à notre écosystème technologique global, afin de répondre aux exigences de la PIPL (l’équivalent chinois du RGPD). Cette adaptation aurait pu nécessiter beaucoup de travail mais en réalité, il a suffi d’une simple adaptation du modèle d’architecture standard de Kbrw, qui offre déjà tout le nécessaire pour répondre à de telles exigences.
Menaces internes et sécurité des clients
L’approche de Kbrw pour atténuer les potentielles menaces internes et le risque de mauvaise utilisation des droits d’accès est aussi rigoureuse que son approche du développement des produits. La stabilité de nos équipes simplifie le processus de vérification des antécédents des collaborateurs.
Nous avons mis en place des capacités d’administration complètes, y compris d’ajout et de suppression d’utilisateurs, pour garantir des niveaux de sécurité similaires du côté client.
La sécurité de l’information chez Kbrw : plus qu’une certification
« Notre approche proactive de la sécurité est un atout majeur de notre marque. La sécurité est chez nous un principe de base, et nous en sommes très fiers », souligne Tommy Vayron.
Dans cet article, nous avons présenté l’approche proactive de Kbrw en matière de sécurité et son intégration dans la marque. Pour toute question relative à la sécurité en lien avec Kbrw que la lecture de cet article aurait pu soulever, n’hésitez pas à nous contacter. Nous serions ravis d’en discuter avec vous.
