Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

13/01/2022

Témoignage

Almond accompagne KIPLIN dans sa stratégie cybersécurité et sa mise en conformité RGPD

Kiplin, société de 45 salariés, développe une solution de Prévention Santé pour favoriser la pratique de l’activité physique des salariés par le jeu.

Témoignage : Accompagnement SSI et mise en conformité RGPD

Découvrez l’interview de Pierre-Charles Bertineau, CTO chez KIPLIN, qui nous fait part de son expérience dans le cadre d’un accompagnement SSI et une mise en conformité RGPD par Almond.

En quoi la cybersécurité est un enjeu essentiel pour vous ?

Chez KIPLIN, nous traitons des données de santé et de fait, la cybersécurité est inhérente à notre activité. Nous sommes sensibilisés à toutes les attaques diverses et variées auxquelles nous pouvons être confrontés. Dans ce cadre, nous sommes également dans une démarche de certification ISO 27001 et envisageons de passer la certification dans un an et demi à deux ans.

Nous procédons de façon agile et nous mettons un point d’honneur à être en conformité avant même que cela ne devienne obligatoire. Le fait d’anticiper cette certification, nous permet d’être plus à l’aise et d’opérer les changements étape par étape. En effet, la certification demande beaucoup d’ajustements en termes de process internes.

Quelles ont été les différentes étapes du projet ?

L’assistance d’Almond nous a permis de mettre en place un référentiel de documents qui reflète notre vision stratégique en matière de sécurité des systèmes d’information :

  • La première étape était de rédiger une première version de la politique de sécurité des systèmes d’informations (PSSI). Il s’agit du document fondateur dont vont découler toutes les politiques et procédures que nous allons écrire graduellement.
  • Almond nous a ensuite accompagnés pour rédiger notre politique de développement sécurisé ainsi que notre procédure de gestion des fournisseurs et différents autres documents qui feront partis du référentiel documentaire. L’ensemble de ces documents, nous servira d’ailleurs pour la certification ISO 27001.
  • Enfin, nous avons décidé de nous faire accompagner sur la partie RGPD, c’est un sujet sur lequel nous travaillons depuis 2018, nous nous étions d’ailleurs déjà fait accompagner pour rédiger notre politique de confidentialité. Notre responsable Data et associée KIPLIN, Marine Blond est responsable de ce projet et souhaitait un accompagnement supplémentaire. Nous étions déjà satisfaits sur la partie sécurité, et cela nous a paru logique de solliciter une nouvelle fois Almond pour la partie RGPD. Ces deux sujets s’entrecroisent régulièrement, il était intéressant de mutualiser ces ressources.

Qu’avez-vous pensé de la relation client  ?

Les échanges avec nos différents interlocuteurs d’Almond se sont très bien passés. Nous sommes d’ailleurs toujours accompagnés et entretenons de bons rapports. Nos relations ne sont pas chronophages : Almond intervient deux à trois jours par mois, ce qui correspond à notre disponibilité pour avancer sur ces sujets cybersécurité.

Quel a été l’apport d’Almond ?

Avec Almond, nous bénéficions d’un haut niveau d’expertise et sommes très satisfaits de l’apport concret dès la première étape, qui a été la réalisation de la PSSI.

En effet, nous étions de plus en plus audités par nos clients qui sont essentiellement des grands comptes, sur les aspects sécurité de notre solution. Aujourd’hui, ce document nous permet de les rassurer et démontre que nous prenons attentivement en considération tous ces sujets.

Quels résultats ont été atteints ?

Factuellement, pour la partie assistance SSI, notre base de documents référentiels a été construite, à savoir, notre politique de sécurité du système qui est finalisée, ainsi que nos politiques de développement sécurisé et notre procédure de gestion des fournisseurs.

Almond a également animé une formation pour toute l’équipe technique, essentiellement constituée de profils de développeu(rs/euses) dans laquelle les essentiels du développement web et mobile sont passés en revue. Ils ont ainsi tous été sensibilisés au développement sécurisé.

Enfin, nous avons pour projet d’utiliser la solution BYCE, Boost Your Cyber Experience, qui est la plateforme d’e-learning d’Almond Institute, dédiée à la sensibilisation de la sécurité des systèmes d’information, pour former l’ensemble de nos collaborateurs.

Pierre-Charles BERTINEAU

CTO de Kiplin

Joël RAMAT

Manager Governance, Risks & Compliance

Voir les derniers témoignages

21 juin 2023
Découvrez le témoignage DE Pierre Gelgon, Team Leader - AMOA & Sécurité chez Déessi. Il nous livre son témoignage sur l’accompagnement d’Almond à la certification ISO 27001.
12 juin 2023
Almond accompagne APRIL sur des missions de mobilisation des Services SOC et CERT avec détection d'attaques, collecte des données & mobilisation de dispositif de réponses sur incidents.
15 mai 2023
Découvrez l'approche des offres cybersécurité d'Almond à travers les solutions Microsoft Defender. 
21 avril 2023
Découvrez le podcast d'Anass Rouass, Campus Manager chez Almond.
15 novembre 2022
Retrouvez l'interview de Dominique Assing, Partner au sein d’Almond Suisse dans l’émission CyberEtik diffusée par TV Léman Bleu SA.
26 septembre 2022
Découvrez le témoignage en deux parties de notre client AG2R La Mondiale sur la mission réalisée par Almond, d’instruction de la sécurité dans les projets.
15 février 2022
Découvrez l’interview de Céline Germouty, chef d'établissement du lycée Notre Dame, dans le cadre de la mission d'audit maturité cybersécurité d'Almond.
14 décembre 2021
Découvrez l'interview de Bruno Meneuvrier, RSSI chez Aviti, qui nous fait part de son expérience dans le cadre de l'accompagnement à la certification ISO 27001 par Almond.
25 novembre 2021
Almond accompagne RAISE depuis plus de 2 ans dans l’évolution de son système d’information, la transformation et la sécurisation de son SI.
15 novembre 2021
Découvrez le témoignage de notre client Mazars sur l’audit interne 27001 externalisé : un levier pour le progrès

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Pour y répondre, rendez-vous sur notre page Linkedin ! A vos votes !

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Laïus explicatif : L’ISO 27001 est une norme internationale, dont les entreprises peuvent se prévaloir en se faisant certifier par un organisme indépendant ; elle contient un ensemble d’exigences que chaque entreprise, quels que soient sa taille et son domaine d’activité, doit impérativement appliquer pour obtenir sa certification ; ses exigences constituent donc le référentiel des audits de certification. A ne pas confondre avec la norme ISO 27002 qui est constituée de recommandations, basées sur les bonnes pratiques internationales, permettant d’aider une entreprise à appliquer les exigences de la norme ISO 27001 (donc norme qui ne donne pas lieu à une certification).

Les exigences de la norme ISO 27001 portent sur les informations nécessaires à une entreprise, recueillies et/ou traitées, quel que soit son support, électronique, papier et oral.

Les trois critères de sécurité retenus par la norme ISO 27001 sont la confidentialité, l’intégrité et la disponibilité des informations. Tout événement, qu’il soit d’origine environnementale ou humaine, intentionnelle ou involontaire, impactant un de ces trois critères, relève de cette norme.

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Laïus explicatif : Une attaque DDoS ou « Distributed Denial of Service » est une attaque visant à rendre indisponible un site en le submergeant de requêtes provenant de multiples sources. Dans le cas où toutes les requêtes proviennent de la même source, on parle simplement d’attaque DoS (« Denial of Service »), ou « par déni de service ».

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Laïus explicatif : DORA ou Digital Operational Resilience Act est un règlement européen publié en 2022 et en vigueur depuis janvier 2023. Le règlement traite de la résilience opérationnelle numérique du secteur financier. Il est applicable aux entités financières comme les banques, assurances, entreprises d’investissement, les établissements de paiement, etc. mais également aux tiers prestataires de services informatiques. Les entreprises concernées ont deux ans pour se mettre en conformité. Ils devront donc l’être en 2025 !

Le pilier relatif à la gestion des risques liés aux prestataires tiers de services TIC apparait comme l’un des plus difficile à mettre en place et à maintenir dans le temps pour les entreprises concernées. En quelques mots, les entreprises devront considérer ces risques comme faisant partie intégrante du risque lié aux technologies de l’information et de la communication (TIC) et notamment le risque de concentration, au niveau de l’entreprise mais également au niveau de l’ensemble du secteur financier européen. En effet, les autorités devront analyser ce risque en analysant les registres tenus et communiqués par les entreprises concernées par DORA et qui recense notamment la liste des tiers prestataires de services TIC avec lesquelles les entités financières conclues des contrats.

Pour plus d’informations, consultez notre avis d’expert sur le sujet : https://almond.eu/cybersecurity-insights/explorons-dora/