L'obtention de la certification ISO 27001 est une fierté
Chez KERCIA, leader du vote électronique en entreprise depuis 2007, nous venons d'atteindre une étape décisive : l'obtention de la certification ISO 27001. Cette norme internationale, qui garantit un Système de Management de la Sécurité de l'Information (SMSI) robuste, renforce notre engagement à protéger les données sensibles de nos clients lors des élections. Pour nos collaborateurs, c'est la reconnaissance d'un travail collectif intense, aligné sur les plus hauts standards de cybersécurité.
Aujourd’hui, KERCIA se distingue comme le seul éditeur de logiciels de vote électronique directement certifié ISO 27001.
Contrairement à la plupart de nos concurrents qui revendiquent cette certification, nous précisons que chez nous, l’ensemble de notre organisation, de nos processus, de nos systèmes et de nos logiciels sont audités et conformes, et pas uniquement notre hébergeur/infogérant.
QU'EST-CE QUE LA NORME ISO 27001 ?
La norme ISO 27001 définit les exigences pour un SMSI efficace, couvrant la confidentialité, l'intégrité et la disponibilité des informations. Elle s'appuie sur une approche basée sur les risques, avec 92 contrôles organisés en 4 domaines : organisationnel, humain, physique et technologique. Dans le contexte du vote électronique, où les données des salariés sont traitées en masse, cette certification assure que nos processus résistent aux cyber-menaces comme les attaques DDoS ou les fuites de données.
Elle est particulièrement pertinente pour les PME comme la nôtre, car elle démontre une maturité en sécurité, essentielle pour gagner la confiance des DRH et CSE lors d'élections professionnelles.
LES ÉTAPES CLÉS DE NOTRE PARCOURS VERS LA CERTIFICATION
Obtenir la certification ISO 27001 a mobilisé nos équipes pendant 12 mois. Voici le processus que nous avons suivi, adapté à notre taille et notre expertise en vote sécurisé :
- Engagement de la direction : Nous avons lancé un plan projet piloté par une équipe dédiée, avec l'appui total du management pour démontrer l'engagement requis par la norme.
- Vérification des 30 exigences de la norme adaptées à KERCIA, formalisée dans notre DDA qui priorise nos 92 contrôles de sécurité.
- Évaluation des risques : Analyse fine des menaces spécifiques au vote électronique (accès non autorisés, intégrité des bulletins, traitement des données personnelles des électeurs), aboutissant au contrôle de ces risques.
- Mise en œuvre du SMSI : Déploiement de politiques (gestion des accès, formation cybersécurité) et audits internes. En interne, notre SMSI s’appuie sur 11 politiques structurantes et 13 procédures dédiées à la sécurité informatique, qui encadrent concrètement nos pratiques au quotidien.
- Audit à blanc : Test de notre niveau de préparation afin didentifier les derniers points d’amélioration et d’aborder l’audit de certification dans les meilleures conditions.
- Corrections de nos processus et outils.
- Audit de certification en 2 étapes : Étape 1 = Revue documentaire par l’auditeur accrédité DNV, validant notre conformité théorique. Étape 2 = Vérification sur site avec entretiens, tests de processus et preuves d'efficacité opérationnelle.
- Nouvelles corrections de nos processus et outils dans les 3 mois suivant l’audit.
- Audits de surveillance : Certification délivrée pour 3 ans, avec contrôles annuels pour maintenir la conformité.
AUCUNE NON-CONFORMITÉ MAJEURE N’A ÉTÉ RELEVÉE, GRÂCE À NOTRE CULTURE SÉCURITÉ ANCRÉE DEPUIS 2007.
POURQUOI LA NORME ISO 27001 CHANGE LA DONNE POUR LE VOTE ÉLECTRONIQUE
Dans un secteur où la confiance est primordiale, cette certification nous distingue. Elle prouve que nos solutions de vote en ligne intègrent des mesures proactives contre les cyber-risques, conformes au RGPD et à la loi française sur le numérique. Nos clients bénéficient d'une traçabilité infalsifiable et d'une meilleure résistance aux attaques, ce qui limite les risques de litiges liés aux élections.
Pour KERCIA, cela signifie aussi une optimisation interne : sensibilisation accrue des équipes et outils modernes pour surveiller les menaces en temps réel.
