19.05.2026 • Interne

La certification ISO, un gage de sécurité

Équipe de certification - VISUS

Grâce à la toute dernière certification conforme à la norme ISO/CEI 27001, nous pouvons garantir un niveau de sécurité des informations élevé – tout en poursuivant l’élaboration de notre stratégie cloud sur des bases solides du point de vue réglementaire.

L’idée de faire contrôler nos propres processus par des expertes et experts indépendants est chez nous le fruit d’une longue tradition. Lorsque le Dr Axel Schreiber nous a rejoint en décembre 2011, les audits et certifications existaient déjà. En qualité de responsable Processus et Services agiles, lui et son équipe étaient aussi responsables de la toute dernière certification conforme à la norme ISO/CEI 27001 . L’équipe s’est mise au travail fin 2023 et la remise du certificat mi-mars nous a permis de franchir une nouvelle étape.

Du clean desk à la cybersécurité

On associe communément la norme ISO/CEI 27001 avec le sujet incontournable de la cybersécurité. Et elle comprend en effet la sécurité des informations, mais dans un sens exhaustif, explique Alex Schreiber. « Il s’agit grosso modo de disposer d’informations au moment où l’on en a besoin, ces dernières devant alors être correctes et ne pouvoir être consultées que par les personnes qui y sont autorisées. »

S’appuyant sur ces trois critères – disponibilité, intégrité et confidentialité – Axel Schreiber, Arngard Libera, gestionnaire qualité et Andreas Barbian, responsable Development, DevOps & Infrastructure ont commencé par définir quelque 80 assets au sein de l’entreprise. Ils en ont ensuite déduit plus de 130 risques : de l’incendie dans le local serveur au vol de documents physiques au bureau en passant par une cyberattaque. Un catalogue de mesures détaillé a alors été rédigé sur la base des dangers potentiels identifiés. Ce dernier définit une centaine de dispositions concrètes, et notamment le remaniement des droits d’accès, la réorganisation des archives ou la mise en œuvre d’une politique dite « clean desk policy ». En ce qui concerne la cybersécurité des produits, le plus important avait déjà été fait, les procédures et contrôles nécessaires ayant depuis longtemps été intégrés au développement.

Effet réjouissant : nous en avons profité pour, « fortement sensibiliser nos collègues à la question de la sécurité des informations ». Formations et réunions plénières, une nouvelle directive en matière de sécurité des informations, des visites de contrôle des bureaux et de nombreux entretiens informels – toutes ces mesures ont permis d’ancrer plus que jamais l’importance des questions de sécurité dans la conscience de l’ensemble du personnel.

Audits externes : un vecteur d’amélioration

La mise en œuvre de la norme ISO/CEI 27001 en est le plus récent exemple : les audits et certifications n’ont dans notre cas jamais exclusivement obéi à des exigences du marché et nous ont au contraire toujours servi de vecteurs d’amélioration de la qualité. C’était déjà le cas dans le cadre de la certification conforme à la norme ISO 9001 relative aux systèmes de gestion de la qualité (QMS) : étant déjà certifiés conformes à la norme ISO 13485 plus stricte qui régit les QMS dans l’industrie des dispositifs médicaux, nous aurions pu renoncer à la norme ISO 9001. Nous avons néanmoins volontairement opté pour la certification conforme à la norme 9001 afin que le QMS fasse aussi l’objet de contrôles réguliers et indépendants par des auditeurs externes, même pour les dispositifs non médicaux. Cette décision avait déjà été prise par les fondateurs Jörg Holstein et Klaus Kleber parce qu’ils « avaient tout simplement le désir de bien faire les choses et de continuellement les améliorer au fil du temps », explique Axel Schreiber.

Cette approche reste inchangée et le contexte de la toute dernière certification est aussi considéré comme « multifactoriel ». D’une part, nous avons depuis longtemps accordé la priorité à la question de la cybersécurité, à plus forte raison au vu de l’importance croissante des services cloud. Tout ceci n’est devenu vraiment concret que lorsque nous avons remporté un appel d’offres associé à un engagement au respect de la norme. Nous ignorions alors une chose : peu après, le législateur jetait de nouvelles bases pour les services de cloud computing dans le secteur de la santé. Depuis juillet 2024, ces derniers sont soumis au catalogue Cloud Computing Compliance Criteria Catalogue (abrégé C5) développé par l’Office fédéral allemand de la sécurité dans la technologie de l’information (BSI). « Et le premier des plus de 100 critères à satisfaire exige la mise en œuvre de la norme ISO 27001. »

La toute dernière certification ISO nous a permis de cocher simultanément plusieurs cases : nous avons amélioré notre position sur le marché, sécurisé notre stratégie cloud du point de vue réglementaire – et surtout nos processus et avons ainsi encore amélioré nos produits. Pour Axel Schreiber, ces succès sont toujours rassurants : « C’est pour nous un devoir moral que de protéger les données de nos clients. Car en définitive, il s’agit bel et bien de données de patients. »

« C’est pour nous un devoir moral que de protéger les données de nos clients. »
Dr Axel Schreiber, responsable Processus et Services agiles