ISMS Copilot
Sécurité

Pourquoi nous ne sommes pas encore certifiés ISO 27001

Chez ISMS Copilot, nous nous engageons à « mettre en pratique ce que nous préconisons ». En tant qu'outil conçu par et pour des professionnels de la sécurité de l'information, nous appliquons de nombreux contrôles que nous aidons nos clients à mettre en œuvre — tels que l'authentification multifacteur (MFA) obligatoire, la sécurité au niveau des lignes (RLS) pour l'isolation des données, l'analyse automatisée du code et la surveillance en temps réel. Notre architecture s'aligne déjà sur les exigences clés de l'Annexe A de l'ISO 27001:2022 et des critères des services de confiance (TSC) de la SOC 2.

Cela dit, nous jouons la carte de la transparence : ISMS Copilot n'est pas encore certifié ISO 27001 ni attesté SOC 2. Voici pourquoi, ainsi que notre plan d'action pragmatique.

Pourquoi nous ne sommes pas encore certifiés

Nous sommes une startup autofinancée, sans investisseurs ni financement externe. Notre petite équipe est dirigée par un fondateur/CEO qui gère de nombreux processus, du développement produit à la conformité, cumulant les rôles de CEO, CISO, DPO, responsable de la conformité, product owner et responsable financier.

Cette réalité crée des défis concrets qui rendent la certification ISO 27001 difficile à obtenir avec notre structure de gestion actuelle :

Structure de gestion

L'ISO 27001 suppose des structures organisationnelles avec une séparation des tâches et une surveillance indépendante. Dans notre configuration actuelle :

  • Je rédige et j'approuve ma propre documentation – Des politiques de sécurité aux évaluations des risques, il n'y a pas de réviseur indépendant car j'occupe la plupart des rôles. Même si l'ingénierie est un rôle distinct, je resterais l'approbateur de la plupart des politiques que je rédige.

  • Revues de direction = réflexion en solo – Lorsque la « revue de direction » signifie que je révise mon propre travail, il s'agit d'une auto-évaluation sans les perspectives diversifiées attendues par les auditeurs. Même si nous pouvons faire appel à des consultants externes pour réaliser des audits internes afin d'apporter un regard neuf sur le SMSI, la revue de direction ne peut pas être externalisée.

  • Chevauchement entre leadership et mise en œuvre – Je m'engage simultanément pour la sécurité en tant que CEO et je la mets en œuvre en tant que CISO, ce qui n'offre pas la séparation des rôles recommandée par l'ISO 27001 pour garantir des niveaux de responsabilité distincts (Clauses 5.1 et 5.3). En tant que fondateur, j'assume l'entière responsabilité de tous les aspects, mais l'esprit de la norme exige une division plus structurée pour une certification formelle.

Nous pouvons externaliser les audits internes pour répondre aux exigences d'indépendance, et nous utilisons notre propre outil pour générer la documentation efficacement. Le défi n'est pas une question de compétence, mais de posséder la structure organisationnelle que l'intention derrière les exigences de l'ISO 27001 impose littéralement.

Priorisation des ressources

En tant qu'entreprise autofinancée, nous nous développons en satisfaisant nos clients : consultants en cybersécurité, auditeurs et équipes de conformité qui comptent sur nous pour leurs implémentations ISO 27001. Nous avons priorisé :

  • Des contrôles de sécurité tangibles qui protègent directement les utilisateurs (chiffrement, contrôles d'accès, surveillance) plutôt que les processus de certification formels

  • Des fonctionnalités produit qui aident nos confrères professionnels de l'ISO 27001 et de la GRC à réussir leurs propres parcours de conformité

  • La valeur client grâce à la génération de documents assistée par IA, au mapping de référentiels et à l'automatisation de la conformité

Nous réinvestissons les revenus provenant de nos utilisateurs satisfaits dans des améliorations constantes plutôt que de détourner des ressources importantes vers la certification alors que nous sommes encore une toute petite équipe.

Nous nous appuyons sur des sous-traitants certifiés (ISO 27001:2022 de Mistral AI, PCI-DSS Niveau 1 de Stripe, ISO 27001 et SOC 2 Type II d'AWS/Supabase) pour étendre notre posture de sécurité tout en restant transparents sur notre propre statut de certification.

Quand nous prévoyons de nous certifier

Nous viserons la certification ISO 27001 et l'attestation SOC 2 à mesure que nous agrandirons notre équipe - en ajoutant des rôles comme un spécialiste dédié à la conformité et des ingénieurs supplémentaires. Cette croissance se fera de manière organique grâce au succès de nos clients : en aidant les professionnels de l'ISO 27001 et de la GRC à simplifier leur travail, nous générons les revenus pour passer à l'échelle de manière responsable.

Une fois l'équipe plus étoffée, nous formaliserons les exigences organisationnelles restantes :

  • Revues de direction indépendantes avec plusieurs parties prenantes

  • Plans de traitement des risques documentés avec des flux d'approbation distincts

  • Procédures de continuité d'activité avec assignation de rôles désignés

  • Programmes d'audit interne avec une réelle indépendance

Nous exploiterons notre propre produit pour accélérer ce processus — en mettant en pratique ce que nous préconisons en utilisant ISMS Copilot pour mettre à jour nos politiques, mapper nos contrôles et maintenir nos preuves.

En attendant, nous mettons en œuvre un SMSI aligné sur l'ISO 27001 : réalisation d'évaluations et de traitements des risques, établissement de mesures de continuité d'activité et de reprise après sinistre, gestion des incidents et surveillance des menaces, et collecte de preuves via des outils tels que les journaux et les tableaux de bord. Lorsque l'expansion de l'équipe aura lieu, la certification viendra renforcer nos acquis plutôt que de nous obliger à repartir de zéro.

Notre posture de sécurité actuelle

Bien que nous ne soyons pas encore certifiés, nous avons mis en œuvre des contrôles de sécurité robustes alignés sur les standards de l'industrie :

  • Authentification multifacteur obligatoire

  • Sécurité au niveau des lignes pour une isolation complète des données entre les espaces de travail

  • Analyse automatisée du code avec tri des résultats

  • Récupération ponctuelle (Point in time recovery) pour une résilience accrue

  • Suivi des erreurs et surveillance en temps réel

  • Chiffrement au repos et en transit

  • Protection DDoS et limitation de débit

  • Conformité RGPD dès la conception avec rétention des données contrôlée par l'utilisateur

Pour plus de détails sur nos contrôles mis en œuvre, consultez notre Aperçu de la sécurité et protection des données et nos Politiques de sécurité.

Des questions sur notre sécurité ?

Nous sommes disponibles pour discuter de la manière dont notre posture de sécurité actuelle répond à vos besoins. Si vous êtes client ou prospect et avez des questions sur nos contrôles, notre statut de conformité ou notre feuille de route de certification, n'hésitez pas à nous contacter. De plus, dès que nous avons les ressources suffisantes pour implémenter un contrôle, nous sommes ravis de le faire, ou du moins de le planifier, alors n'hésitez pas à demander.

Cela vous a-t-il été utile ?