En toute sécurité
Entretien avec Christian von Rützen, responsable sécurité informatique de DACHSER.
Pourquoi avoir demandé la certification ISO 27001 pour vos services informatiques centraux ?
Nous l’avons fait avant tout pour nos clients. Il ne s’agit pas uniquement de transfert de données. Ils nous font confiance pour traiter leurs informations sensibles de manière responsable. En tant que fournisseur international de services logistiques, nous devons satisfaire à certaines exigences en matière de sécurité des informations et nous devons être en mesure de le prouver. La norme ISO 27001 est la norme reconnue internationalement dans ce domaine. Tout le monde sait à quoi elle correspond. Avec cette certification ISO, le message est clair : avec DACHSER, vos données sont entre de bonnes mains !
Notre recherche continue d’optimisation et d’efficacité nous a également poussés à obtenir cette certification ISO. Même 10 ans après avoir établi notre système de sécurité informatique, nous cherchons constamment à améliorer notre technologie et nos processus. En outre, cette certification simplifie les processus des organismes d’audit ou les certifications telles que l’OEA, par exemple.
Dans quelle mesure la sécurité des informations est-elle importante pour le secteur logistique ?
Ça l’est au point que le concept global de sécurité est abordé lors de la quasi-totalité des nouvelles transactions commerciales, ainsi qu’avec nos clients de longue date dans le contexte d’audits avec catalogue de questions. Il est également important de savoir que, de nos jours, une large part des données de commande sont transmises par voie électronique. Et c’est une tendance grandissante. Nos clients savent que leurs propres processus dépendent de la disponibilité des systèmes DACHSER. C’est particulièrement vrai pour l’industrie alimentaire, puisque les denrées périssables nécessitent bien souvent une prise en charge continue, avec des délais serrés. Lorsqu’un camion manque à l’appel, on observe rapidement un retard dans la ligne de production, avec pour conséquence l’arrêt des machines. Ou, dans le cas de l’exploitation d’un entrepôt pour le compte d’un fournisseur automobile, si les pièces ne sont pas livrées en temps et en heure à la ligne d’assemblage, on assiste à l’arrêt pur et simple de la production.
Cette certification concerne-t-elle uniquement le centre de Kempten ?
Nous avons obtenu la certification pour nos services informatiques centraux, nos centres de données, nos infrastructures et les domaines propres aux technologies de l’information. Cependant, le système informatique de DACHSER est caractérisé par un haut niveau de centralisation et, par conséquent, d’homogénéité et d’intégration. Le centre de Kempten définit et développe les systèmes de gestion des transports et des entrepôts, ainsi que les applications Internet eLogistics, avant de les mettre à disposition de nos agences aux quatre coins du monde. En ce sens, la certification revêt une dimension résolument internationale. Nous sommes allés plus loin que la plupart de nos concurrents, qui se contentent de certifier certaines parties décentralisées de leur service informatique, et encore. Pour nous, une certification centrale est tout ce qu’il y a de plus logique. Tout comme nous, nos clients disposent d’agences dans le monde entier, et ils souhaitent pouvoir bénéficier partout des mêmes standards lorsqu’ils travaillent avec nous.
Cette certification exhaustive a dû s’avérer relativement complexe.
Oui, le processus d’audit en deux étapes a duré environ six mois. À ce propos, nous devons être clairs : la certification ISO 27001 ne constitue pas un arrêt sur image pour lequel nous avons travaillé de manière temporaire. Un audit de surveillance annuel ne peut être réussi et déboucher sur le renouvellement de la certification sans une amélioration cohérente des processus de sécurité. Nous avons pour objectif d’améliorer chaque point de manière continue. Et les auditeurs de TÜV SÜD nous ont fournis quelques très bonnes pistes.
ISO 27001
Reconnue dans le monde entier, la norme ISO 27001 (version actuelle : ISO/CEI 27001:2005) définit le traitement sécurisé des informations au sein d’une société. Cette certification couvre tous les aspects de la sécurité des informations, aussi bien techniques, avec la protection antivirus et antispam, la sécurité des applications Internet, la sécurité contre les défaillances et la planification des mesures d’urgence, qu’organisationnels, avec la politique de confidentialité adoptée avec les consultants et prestataire de services informatiques externes ou la politique d’utilisation du système informatique. Concernant le contenu, la norme requiert la mise en place d’un système de gestion des risques à tous les niveaux, afin de pouvoir classer et gérer la multitude de risques identifiés. La certification ISO 27001 est en outre établie comme un processus d’amélioration continue. Lors de l’audit de surveillance annuel, les progrès réalisés en matière de sécurité des informations doivent être suffisants pour justifier le renouvellement de la certification.
Il ne s’agit que d’un élément de l’éventail de certifications et d’évaluations en place au sein des diverses organisations DACHSER.