Dans l’esprit « Blue Team »

Pour Tibco, cette certification s’inscrit dans une approche non anxiogène et bienveillante de la sécurité de l’information. Sachant que l’avenir est au numérique, l’entreprise s’emploie en effet à bâtir un environnement de travail serein pour ses clients et pour elle-même. Avec la volonté, à travers sa devise « Bien vivre le numérique », de permettre à chacun de vivre le virage digital dans les meilleures conditions.

Pour jouer son rôle de « Blue Team » – équipe de cyber défenseurs veillant à la protection des informations de ses clients -, Tibco a mis en œuvre une politique de sécurité de l’information autour de 5 priorités :

  • Garantir un haut niveau de sécurité dans ses prestations à travers l’éducation des Tib’s,
  • protéger ses informations et celles de ses clients
  • ou encore détecter au plus tôt
  • et réagir de manière appropriée à tout événement compromettant la continuité de ses activités, en font partie.

Pour renforcer cet engagement, Tibco a décidé d’intégrer le référentiel ISO 27001 à son système de management. Et de mobiliser les moyens nécessaires à l’obtention de cette certification.

Un projet de certification ISO 27001 conduit efficacement

Ce challenge, les Tib’s l’ont relevé en moins d’un an, d’avril 2018 à février 2019. Avec une conduite de projet trouvant son efficacité dans un certain nombre de leviers.

« Co-pilotes » de ce chantier stratégique, Régine Garsot, Responsable QHSE et DPO, et Alain Bourgeteau, RSSI, recensent les principaux  leviers :

  • un champ d’action bien délimité : « Le Directoire a établi le périmètre de certification sur 3 premières activités, qui répondent pour nous à des enjeux essentiels, explique le RSSI. Certifier d’emblée tout le groupe Tibco aurait été plus long et plus complexe. »
  • la co-construction : la dynamique d’équipe, selon Régine Garsot, a constitué une autre clé majeure. « Avec un petit groupe de 7 personnes, possédant toutes une expertise opérationnelle, nous avons co-construit l’ensemble du projet, précise-t-elle. Nous avons veillé à ce que ce groupe s’approprie les enjeux, en lui laissant toute autonomie dans le choix des mesures de sécurité. Alain ajoute d’ailleurs : « les seules mesures de sécurité efficaces sont celles qui sont appliquées. »
  • un bon dosage : l’équipe s’est employée à concevoir des réponses adaptées et bien proportionnées, grâce à une analyse préalable des risques menée en septembre 2018. « Toute mesure de sécurité a un coût et doit par conséquent être décidée au regard des risques qu’elle permet de réduire, ainsi que des finalités et des moyens de l’entreprise », souligne Alain Bourgeteau.
  • de la méthode et de l’amélioration continue : « La mise en place d’un  SMSI obéit à un mécanisme rigoureux. Il faut mettre en place les mesures, informer, diffuser mais aussi contrôler et corriger, pour que le système reste efficace dans la durée », commente la responsable QHSE et DPO.
  • un ancrage dans la réalité : « La certification ISO 27001 n’est pas un exercice de style. Elle est bien pour nous le moyen d’inscrire la culture de la sécurité dans le réel, au cœur de nos savoir-faire, savoir-être et de chacun de nos métiers. Une nécessité, aujourd’hui ! », précise le RSSI.
  • L’appui des nombreux experts sécurité de Tibco : « J’ai eu la chance de pouvoir m’appuyer sur les équipes d’experts sécurité qui agissent pour nos clients. J’ai ainsi pu me consacrer à la conduite du projet avec l’aide de Régine, à vérifier sa cohérence sans intervenir dans les choix techniques », indique le RSSI.
  • la complémentarité des profils : Régine a une grande expérience des démarches de certification et d’audits et a su guider le RSSI ainsi que les contributeurs du projet*. Alain a ainsi pu se focaliser sur les contenus et l’appropriation des mesures de sécurité.
  • Un appui sans failles de la direction : Dans une organisation matricielle comme la nôtre, la gestion des priorités est parfois complexe. L’appui ferme et constant de la direction a littéralement dégagé la voie devant nous », précise Alain.

Le collectif et l’humain, avant tout…

Cet ancrage fort du SMSI dans la réalité terrain, et les autres leviers déployés par Tibco, les auditeurs les ont constatés lors de leur venue, en février, pour l’audit de  certification ISO 27001. Avec la délivrance, à la clé, du « précieux sésame » à l’entreprise.

Heureux de voir leur engagement reconnu, dans ce domaine aujourd’hui stratégique, les Tib’s ont savouré surtout la fierté d’avoir su identifier ensemble les bons caps, de s’être mis en mouvement dans une direction commune et d’avoir franchi en équipe la ligne d’arrivée.

Car si l’obtention de l’ISO 27001 résulte d’une démarche rigoureuse et méthodique, elle est aussi le fruit d’un collectif, qui a intégré l’humain au cœur du projet. Ce challenge réussi, Tibco le doit ainsi à la capacité qu’ont eue ses « co-pilotes », Régine Garsot et Alain Bourgeteau,  à transformer leurs points de vue parfois différents en points d’appui pour avancer. Comme le précise Alain : « Même nos visions différentes et complémentaire sont des forces, quand ils s’expriment sans jugement ni polémique avec la volonté d’avancer. »

Le groupe la doit aussi à l’implication forte de la direction, aux conseils et au suivi d’un partenaire expert sur ce sujet et à l’engagement, enfin, de tous les Tib’s et de leurs managers pour promouvoir, appliquer et faire appliquer les mesures de sécurité, qui ont été décidées.

Ou comment une équipe, par sa mobilisation et son envie, embarque plus largement dans son sillage…

Régine Garsot
Alain Bourgeteau, RSSI chez Tibco
Alain Bourgeteau