Notre score CyberVadis s’améliore !

Le rapport de l’audit CyberVadis, qui évalue notre niveau de cybersécurité correspondant au système d’information en œuvre actuellement pour nos projets client, nous a été rendu en janvier 2024. C’est la certification OR qui nous a été attribuée pour 2024.

Quel est l’objectif de l’évaluation CyberVadis ?

En 2022, LOYALTY COMPANY a mandaté CyberVadis pour mener l’évaluation de sa maturité en matière de cybersécurité et de protection de l’information. Nous avions opté pour ce projet global d’audit unique avec pour intérêt de disposer d’un audit partageable, basé sur une méthodologie alignée sur la norme ISO27001 et le RGPD. Les résultats du rapport 2022 ont été ainsi partagés à certains de nos clients, à leur demande.

Cette démarche implique néanmoins de renouveler annuellement cet audit en mettant à jour les actions d’amélioration menées, ainsi qu’en actualisant l’ensemble des documents apportés comme preuve. En 2023, ce renouvellement a été réalisé à la suite du projet de migration Azure, afin de disposer de la documentation correspondante à cette nouvelle infrastructure.

Rapport de l’audit 2023 : un excellent niveau de cybersécurité !

Notre score global évolue favorablement car nous gagnons pratiquement 100 points : nous passons aussi du niveau Avancé au niveau Mature. Cela signifie que nous présentons un excellent niveau de sécurité, puisqu’il s’agit du niveau le plus élevé !

De plus, alors qu’en 2022 nous présentions déjà un bon niveau au regard du score moyen des entreprises évaluées par Cybervadis, notre positionnement s’améliore considérablement car le score moyen en 2023 se situe à 659 points (vs 646 en 2022).

Zones de risque : la mise en place d’actions payantes

Nous améliorons efficacement nos résultats sur les zones de risques. Notre score augmente sur l’ensemble de ces zones, notamment la Gestion des tiers ainsi que la Continuité d’activité (nous avions déjà le score maximum de 1000 pts pour la zone de risque des données personnelles !).

Ce sont nos actions de formalisation menées cette année qui nous ont permis d’obtenir ce résultat, avec notamment la formalisation d’un PAS (Plan d’Assurance Sécurité) à destination des partenaires, ainsi que la formalisation de notre PCA (Plan de Continuité d’Activité).

Dans le détail, nous avons : 

• Données personnelles / RGPD : 1000 pts (vs 1000 en 2022)
• Protection des données : 925 pts (vs 838)
• Gestion des tiers : 793 pts (vs 644)
• Continuité d’activité : 962 pts (vs 756)

Zones de sécurité : un nouveau plan d’action pour 2024

Nous avons atteint le niveau Mature dans l’ensemble des domaines de sécurité, améliorant ainsi notre score dans le seul domaine où nous n’avions pas encore atteint ce niveau.

Cependant, nous constatons une baisse du score dans les domaines Identifier et Détecter.

Comment expliquer cette situation ?

Le domaine Identifier

Parmi tous les éléments examinés dans le domaine Identifier, celui qui a eu un impact négatif sur le résultat concerne l’évaluation des risques. Pourtant, ce point aurait dû s’améliorer grâce à notre travail sur la formalisation du PCA. 

Il faut savoir que l’audit de 2022 s’est appuyé sur une documentation datant d’une analyse des risques effectuée en 2017 qui, bien que devenue inadaptée au regard de la situation en 2022, était accompagnée d’un plan de reprise de l’activité qui permettait de répondre efficacement aux incidents du système d’information. Ce sujet obtenait donc un score satisfaisant. En 2023, nous avons effectué une nouvelle analyse des risques pour disposer d’un plan précis par rapport à des risques actualisés et adaptés aux métiers. Cet exercice s’est accompagné d’un plan d’actions visant à réduire certains de ces risques, ce qui, dans l’évaluation de Cybervadis, apparaît comme pesant sur l’organisation. La totalité des points n’a donc pas été accordé sur ce sujet, et sa pondération selon la méthode d’audit de Cybervadis a un impact significatif sur le score de ce domaine.

Le domaine Détecter

Quant au domaine Détecter, la baisse du score s’explique par le fait que, par suite de la migration vers Azure, nous n’avons pas encore mis en place tous les éléments relatifs à la gouvernance des vulnérabilités. Cependant, les vulnérabilités sont correctement gérées grâce à la fiabilité de l’infrastructure Azure ainsi que l’infogérance de Accenture. Ce qui nous manque encore pour finaliser notre migration sur ce point, c’est la mise en place de contrôles des vulnérabilités à l’aide d’outils de scans, ainsi qu’un suivi systématique et précis des actions de remédiation en coordonnant les processus avec Accenture. 

Ainsi, le travail déployé pour améliorer notre score dans ces domaines a relevé de nouvelles actions de remédiation. Nous avons un plan d’actions défini pour cette nouvelle année, ce qui nous permet d’espérer une amélioration de notre score lors de l’audit CyberVadis de 2024.

Rendez-vous l’année prochaine !

Une question ? Notre équipe sera ravie de vous répondre.