Cette étude de cas montre comment la gouvernance informatique a aidé IMS Hospital à obtenir la certification ISO 27001.
Étude de cas IMS Hospital Group
Le fournisseur de données pharmaceutiques, IMS Hospital Group, devait rapidement obtenir la certification ISO 27001 afin de répondre aux exigences d’un fournisseur potentiel d’information senssible. Avec le soutien des conseil, de formation et de conformité spécialisés dans la protection des données Data Proof / EuRgpd, IMS a été en mesure de satisfaire aisément aux exigences de son audit en deux étapes, malgré un calendrier exigeant.
Contexte
Le succès d’une entreprise pharmaceutique repose sur le développement complexe et à long terme de médicaments, sur la protection par brevet et sur de bons antécédents en matière de sécurité des patients. Inévitablement, le risque de poursuites dans tous ces domaines est un réel problème. La sécurité des données est donc une préoccupation majeure et des mesures robustes et efficaces sont nécessaires pour assurer la confidentialité des informations d’une entreprise et pour limiter son exposition aux poursuites judiciaires.
Source d’importante de données sectorielles sensibles, IMS Hospital Group («IMS») est soumis aux mêmes exigences strictes que ses clients du secteur pharmaceutique et, comme d’autres organisations, subit une pression croissante pour démontrer les bonnes pratiques en matière de sécurité de l’information.
IMS était déjà soumis aux politiques strictes de confidentialité et de protection des données de sa société mère. Cependant, une nouvelle source potentielle de données, une organisation gouvernementale de la santé, stipulait que le système IMS devrait également être certifié ISO 27001, la norme mondiale des meilleures pratiques en matière de gestion de la sécurité de l’information.
N’ayant aucune connaissance interne de la certification ISO 27001, IMS a chargé début 2007 Data Proof / EuRgpd de procéder à une première évaluation de ses besoins et de donner des conseils sur les mesures à prendre. Comme le confirme Chris, responsable de projet pour la conformité à la norme ISO 27001 d’IMS, la société a rapidement été convaincue de l’expertise de la gouvernance informatique dans ce domaine.
Processus
Guidé par les grandes lignes des recommandations de la gouvernance informatique, IMS s’est initialement employé à faire de la conformité à la norme ISO 27001 un projet interne.
Cependant, en raison de changements de priorités au sein de l’entreprise, IMS a été subitement soumis à une pression encore plus grande pour obtenir sa certification ISO 27001, le délai ayant été reporté de près de trois mois. À ce stade, il a été décidé d’engager plus intensément la gouvernance informatique afin d’accélérer la préparation d’IMS.
Le nouvel engagement a débuté par une séance de stratégie et de planification au cours de laquelle les deux sociétés ont travaillé de concert pour convenir de la feuille de route du projet et des jalons à différentes étapes critiques. Dans le cadre de ce processus, il était également nécessaire d’évaluer les compétences et les connaissances actuelles de l’équipe de projet interne d’IMS.
En tant que chef de projet, Chris avait récemment suivi deux cours de formation d’experts en gouvernance informatique: un cours sur la mise en œuvre de la norme ISO 27001 de trois jours et un cours de certification des auditeurs internes ISO 27001. La Masterclass comprenait une étude très pertinente sur les projets de certification accélérée, ce qui a permis à Chris de comprendre certains des points de pression et des problèmes susceptibles de se produire. Cependant, afin d’étendre les compétences pertinentes aux autres membres de l’équipe, il a été décidé que la gouvernance informatique devrait également obliger les auditeurs du système de management de la qualité interne d’IMS à suivre un cours de formation sur la transition des auditeurs internes ISO 27001.
L’expérience de la gouvernance informatique consistant à guider de nombreuses autres entreprises à travers la certification de la sécurité de l’information s’est révélée très utile, comme le précise Chris : «La bonne approche de la conformité à la norme ISO 27001 n’est pas immédiatement évidente. Il était extrêmement utile que la gouvernance informatique puisse parler de ses expériences dans divers secteurs et donner des conseils sur des approches pratiques offrant la solution la plus efficace. »
À ce stade, l’équipe IMS était prête à s’acquitter de ses tâches de manière concertée. Cependant, les consultants Data Proof / EuRgpd a maintenu le contact avec Chris et a rendu visite à la société à chaque étape du projet, afin d’échantillonner et d’examiner le travail de l’équipe et de fournir des conseils sur divers aspects de la mise en œuvre. Notre consultant a également aidé IMS à procéder à une répétition générale avant son audit de phase 2, ce qui a permis à la société d’être prête pour un contrôle externe.
Résultat
L’étape 1 de l’audit d’IMS a eu lieu en avril 2018, lorsque les auditeurs de BSI ont visité la documentation ISO 27001 de la société. La visite s’est bien déroulée et IMS a été informée qu’elle devrait passer à un audit de deuxième étape en avril, au moment où BSi soumettrait la société à un examen beaucoup plus minutieux de la manière dont ses politiques et procédures étaient appliquées au sein de l’entreprise.
Ce deuxième audit a connu le même succès, avec seulement une non-conformité mineure identifiée qui a été rapidement corrigée par l’équipe IMS. La société a ensuite obtenu sa certification ISO 27001 le même mois, ce qui lui a permis de relever pleinement le défi exigeant qu’elle s’était fixée dans le délai révisé et plus serré.
Chris souligne également que le soutien de la gouvernance informatique va au-delà de la simple certification réussie. ‘Plutôt que de dire: «Passons simplement l’audit», Data Proof / EuRgpd aborde le processus de certification du point de vue des avantages commerciaux réels, et cela nous a permis de comprendre partie dont la façon dont nous abordons notre travail. »
Être certifié ISO 27001 ajoute une valeur significative aux activités d’IMS. Comme l’a déclaré Chis, non seulement at-il acquis un important fournisseur de données, il montre à tous nos fournisseurs et clients que nous respectons les meilleures pratiques et garantit la qualité et l’intégrité de nos produit fini.