Les technologies modernes de l’information et de la communication et leur mise en réseau enrichissent notre vie à bien des égards. Elles nous garantissent du confort, de la sécurité et des gains de temps. Toutefois, notre dépendance croissante à l’égard des systèmes numériques comporte également des risques. Par exemple en ce qui concerne le traitement des données sensibles – et donc la continuité opérationnelle des entreprises. À mesure que le degré d’interconnexion des processus industriels automatisés augmente, la surface d’attaque s’élargit en conséquence.
Pour une entreprise hautement spécialisée comme Bouygues E&S Process Automation, qui fournit des prestations complètes dans de nombreux domaines sensibles de l’industrie et des infrastructures, les investissements dans la sécurité de l’information et des données sont essentiels afin d’assurer sa crédibilité sur le marché et sa continuité opérationnelle. Le «Vulnerability Management» («gestion de la vulnérabilité») vise à sensibiliser aux risques ainsi qu’à identifier et à éliminer les points faibles de l’infrastructure informatique d’une organisation. L’objectif du Vulnerability Management est d’approfondir les connaissances des collaborateurs et collaboratrices et de permettre une gestion encore plus consciencieuse des données sensibles. En effet, le personnel est une pierre angulaire dans le mur coupe-feu contre la compromission des données.
Afin de soumettre son propre traitement des données et des informations à un contrôle indépendant, Bouygues E&S Process Automation a demandé un audit selon la norme ISO 27001. Celle-ci détaille les «exigences pour établir, mettre en œuvre, maintenir, surveiller et améliorer continuellement le système de management de la sécurité des informations documentées, en tenant compte du contexte d’une organisation». Une certification réussie est une preuve essentielle vis-à-vis de la clientèle et des partenaires qu’une entreprise assure un niveau de sécurité élevé dans le traitement des données.
Dans un premier temps, il a toutefois fallu préparer l’organisation à la certification et former des équipes de projet qui se concentrent sur des domaines d’action pertinents. Des mesures organisationnelles et techniques à mettre en œuvre avaient été définies au préalable sur la base d’une analyse de sécurité. Cela concernait par exemple des restrictions d’accès locales, des extensions techniques du réseau ou encore l’élaboration de directives et d’instructions de travail pour les collaborateurs et collaboratrices.
L’équipe de projet a créé la documentation nécessaire du système de management de la sécurité de l’information à l’aide d’une nouvelle plateforme logicielle qui est structurée comme un simple wiki d’entreprise et qui comporte, entre autres, des workflows pour le suivi de certaines tâches. Toutes les mesures de la norme ISO peuvent ainsi être consultées et suivies en toute transparence en ce qui concerne leur mise en œuvre et leur respect.
Comme l’a révélé l’analyse de sécurité effectuée au début du projet, les points faibles potentiels en matière de sécurité des données, qui nécessitent des mesures, touchent tous les domaines. Quels domaines doivent être protégés? Quelles mesures faut-il prendre pour atteindre les objectifs souhaités? Quels efforts doivent être déployés pour aboutir à une documentation adéquate? La préparation de l’audit en tant que tel a pris environ un an. La question du bon équilibre entre les mesures de protection et les efforts à fournir a accompagné l’équipe de projet tout au long du processus.
Dans le cadre de la mise en œuvre des aspects techniques tels que les contrôles d’accès, les archivages et l’amélioration de la sécurité du réseau sur le site d’Olten, l’équipe de projet a pu compter sur le soutien des collègues d’autres secteurs de Bouygues Energies & Services. Outre les collègues du service Technique du bâtiment, l’informatique ainsi que le service spécialisé Qualité dirigé par Ursina Schori ont également soutenu l’équipe de projet dans la préparation de l’audit.
Enfin, l’audit s’est déroulé en deux étapes et s’est étalé sur environ trois jours. Pendant cette période, l’équipe de projet a dû exposer minutieusement aux auditeurs expérimentés la mise en œuvre appropriée dans le cadre du modèle commercial de Bouygues E&S Process Automation. La certification obtenue à l’été 2022 a finalement récompensé à sa juste valeur une année intense de préparation rigoureuse et de collaboration interne. Toutefois, cette distinction n’est pas la fin, mais le début d’une nouvelle culture de la sécurité chez Bouygues E&S Process Automation SA.
