SOCOMEC certifié ISO/CEI 27001, garante de la cyber-sécurité de ses produits et services

SOCOMEC, groupe mondial alsacien spécialisé dans la conception, la fabrication et la commercialisation d’équipements électriques, vient d’obtenir la certification ISO/CEI 27001.

Communiqué – 69% des cyberattaques ont visé des entreprises en 2021, 11% des hôpitaux. Ces intrusions sont en hausse exponentielle depuis 2020 comme le relève l’ANSSI (Agence nationale de la sécurité des systèmes). L’industrie est aujourd’hui le 2e secteur le plus touché. Dans ce contexte, la cyber-sécurité représente un enjeu stratégique majeur.

La sécurité de ses produits et services est une priorité pour SOCOMEC. De nombreux tests internes sont réalisés à tous les niveaux. Ces process sont désormais certifiés, puisque SOCOMEC vient d’obtenir la norme internationale ISO/CEI 27001, délivrée par l’ANSSI via l’AFNOR. Cette certification garantit la sécurité et l’homogénéité de la chaîne de valeur dans son ensemble.

Les produits connectés, IoT (Internet of Things), utilisés dans l’industrie se trouvent à l’intersection entre le réseau bureautique et les infrastructures des clients (industrie, santé, énergie, data centers…). Ils pourraient servir de porte d’entrée pour des cyberattaques pouvant impacter significativement l’entreprise soit par la récupération de données, en paralysant la production, en provoquant des casses ou en étant l’objet de rançon. 

Cette certification garantit que tout est mis en œuvre pour obtenir un niveau de sécurité optimal sur toute la chaîne de développement logiciel. Cela facilite également l’intégration des produits et services SOCOMEC dans les environnements sécurisés de ses clients, en garantissant la disponibilité, l’intégrité et la confidentialité de leurs données.

Quel est le périmètre de l’ISO/CEI 27001 ?

Les produits évoluent, leur conception devient plus complexe et les fonctionnalités se globalisent. Les informations ne proviennent plus de produits uniques et isolés, mais d’un système complet composé d’équipements, de réseaux de communication, de flux d’informations transitant par des serveurs virtualisés sur le Cloud et leurs applicatifs. Les services sont également concernés par les enjeux de cyber-sécurité.

Sécuriser chaque produit individuellement n’est pas suffisant. Il faut s’intéresser à l’ensemble de la chaîne de valeur pour obtenir un niveau de sécurité adéquat. Ainsi l’ISO/CEI 27001 intègre le suivi des comportements sécuritaires de chaque collaborateur, les relations avec les fournisseurs sur la gestion des informations transmises, les liens clients pour alerter et produire des correctifs, la conformité aux règlementations sécurité de l’entreprise (privacy, cryptographie douanière, …). C’est à travers différentes procédures et organisations mises en place chez SOCOMEC que le groupe assure ces éléments.
La certification ISO/CEI 27001 est une norme internationale qui couvre tous les produits IoT fabriqués par SOCOMEC dans le monde.

Seule norme reconnue dans ce domaine, elle est issue du monde de l’informatique et a évoluée vers le monde de l’industrie après la multiplication des cyber-attaques vers les objets connectés, porte d’entrée potentielle pour atteindre les systèmes d’exploitation informatique.

Un processus d’obtention particulièrement exigeant

Convaincue de l’importance de la démarche et des enjeux de sécurité pour ses partenaires, la direction de SOCOMEC s’est engagée dans cette certification en 2019 par un audit externe et la création d’un service dédié à la cyber-sécurité IoT au sein de l’équipe R&D. Le capital documentaire et le flux fonctionnel, déjà bien maitrisé grâce aux certifications ISO 9001, a été appliqué à cette nouvelle dimension de cyber-sécurité et a été salué par l’AFNOR pour son niveau de maturité, tout particulièrement dans le cadre du premier audit.

Réalisé par un auditeur agrée AFNOR, l’audit final a eu lieu en fin d’année 2022 et la certification obtenue en janvier 2023. Le process est très rigoureux et permet d’évaluer le niveau de maitrise de l’entreprise par le bais d’une analyse de la revue documentaire, accompagnée de preuves et de vérifications in situ. L’investissement transversal des collaborateurs est indispensable pour mettre en place un tel suivi et la démarche a été soutenue par des consultants externes et des audits préalables. Des outils dédiés à la traçabilité et le pilotage ont également été développés pour surveiller la sécurité et le suivi.

L’ISO/CEI 27001 permet de valoriser une démarche déjà opérationnelle dans l’entreprise auprès des clients de SOCOMEC et d’assurer une progression constante de cette expertise. En effet, la certification est obtenue pour 3 ans, sous réserve de la réalisation d’un audit interne annuel, complété par un audit de renouvellement annuel réalisé par l’AFNOR.

à lire