La conformité par-delà les certifications : comment nous sécurisons les données des clients

Les certifications mondiales en matière de protection des données et de conformité sont toutes accompagnées d’exigences et de cadres de sécurité, qui sont autant de normes à respecter pour pouvoir afficher les logos SOC 2, CSA Star ou ISO sur le site web de votre entreprise. Pour beaucoup, un tel logo sur leur site représente le Graal absolu. Mais pour Rippling, ce n’est qu’une première étape.

Pour nous, la conformité n’est pas une case à cocher. Nous tenons à nous assurer qu’elle est profondément ancrée dans toutes les activités de Rippling. Notre objectif est une « conformité concrète » : des contrôles de sécurité qui exercent réellement un impact sur la sécurité de notre environnement et donc sur celle des données de nos clients. Nous savons que les données que nous stockons et traitons sont sensibles, et nous sommes déterminés à assurer leur sécurité.

Faire le maximum pour Rippling – et pour nos clients – impose d’aller au-delà des attentes des certifications que nous avons obtenues.

En moins de deux ans, les effectifs de notre équipe de sécurité ont plus que doublé. Nous avons créé des garde-fous de sécurité modernes, développé de nouveaux programmes et déployé des formations dans toutes l’entreprise pour que chacun de nos collaborateurs soit pleinement conscient qu’il est responsable de la sécurité de l’organisation et de celle de nos clients. Dans les paragraphes qui suivent, je vais vous présenter certains des changements que nous avons implémentés l’année passée, ainsi que leur rôle dans la « conformité concrète » de Rippling.

Élaboration du programme de sécurité de Rippling

Avant de rejoindre Rippling, il y a près de deux ans, j’étais en poste chez Auth0, qui fait désormais partie d’Okta. Mon équipe et moi avons conçu le programme de conformité à la sécurité de l’entreprise. Quand je suis parti, nous avions obtenu toutes les certifications et attestations de sécurité imaginables : SOC 2, PCI DSS, ISO 27001, CSA STAR, et plus encore.

J’ai été embauché chez Rippling pour faire progresser son programme de sécurité. Avant mon arrivée, Rippling avait passé des audits SOC 1 et SOC 2 sur une période courte. Depuis, nous avons obtenu les attestations suivantes :

• SOC 1 Type 2 complet sur un an

• SOC 2 Type 2 complet sur un an

• Certification ISO 27001

• Certification ISO 27018

• Certification CSA STAR Level 2

Pour créer ce programme, il a fallu renforcer nos effectifs. Notre RSSI, Duncan Godfrey, a rapidement agrandi notre équipe de sécurité, et continue à le faire.

Les exigences de conformité ne sont qu’un début

Une fois le programme et l’équipe en place, nous avions trois objectifs :

• écrire de nouvelles politiques de sécurité capables de créer une culture de la sécurité chez Rippling ;

• nous assurer que les collaborateurs de Rippling comprennent leurs responsabilités en matière de sécurité ;

• évaluer en permanence nos contrôles de sécurité, en allant au-delà des exigences de certification pour répondre à nos propres critères.

La norme ISO 27001 est une certification de sécurité reconnue dans le monde entier, et nous en avons fait le fondement de nos nouvelles politiques de sécurité. Au cours de l’année écoulé, nous avons rédigé plus de 40 politiques et procédures qui répondent aux exigences des audits, mais transmettent aussi à nos collaborateurs des valeurs et des conseils en matière de sécurité. Nous ne voulions pas nous contenter de réutiliser des modèles conformes à nos obligations. Nous tenions à élaborer un ensemble de politiques qui permettraient à chaque collaborateur de Rippling de comprendre l’importance de la sécurité et le rôle qu’il doit y jouer. 

Notre politique globale de sécurité de l’information offre des directives et des normes pour que les collaborateurs connaissent leurs responsabilités et sachent ce qui est attendu d’eux. Elle détaille leurs responsabilités en matière de sécurité. Nous avons également publié des procédures et des politiques opérationnelles critiques. Parmi elles, notre plan de réponse en cas d’incident, qui indique comment réagir, et notre politique de relations avec les fournisseurs, qui encadre notre gestion des risques tiers et le contrôle des prestataires. Ces deux documents incluent des directives et des garde-fous protégeant les domaines où les risques de sécurité revêtent toujours une importance critique. 

Au cours du processus d’élaboration, nous avons mis en place une formation pour tous nos collaborateurs, afin de nous assurer que chacun à Rippling comprenne nos politiques et ses propres responsabilités. La formation incluait une étude de la politique et une sensibilisation à la sécurité de l’information pour renforcer nos bonnes pratiques. Nous avons développé des formations plus focalisées pour les collaborateurs qui traitent des données sensibles, afin qu’ils comprennent pleinement l’importance de leurs responsabilités.

Enfin, nous devions renforcer nos contrôles pour préparer le déploiement de nos nouvelles politiques. Nous avons notamment beaucoup travaillé sur le renforcement de notre posture de gestion de l’accès : nous nous sommes assurés que notre programme répondait non seulement aux normes ISO, mais aussi à nos propres normes de sécurité. Nous avons également poursuivi le développement de notre programme de sécurité de l’ingénierie, avec des cycles de développement logiciel hautement sécurisés et des tests de pénétration tiers plus ciblés. Ces contrôles ont contribué à notre conformité, mais ils ont surtout eu un impact sensible sur la sécurité de notre plateforme. Ils ont ainsi renforcé la protection de ce qui compte le plus pour notre activité : les données de nos clients. 

Les prochaines étapes du programme de sécurité de Rippling

Face aux évolutions annoncées du paysage de la sécurité, nous continuons de placer la sécurité et la conformité au cœur de tous nos efforts.

Avant toute chose, nous montrons l’exemple en matière de conformité. L’une de mes principales responsabilités est d’assurer que Rippling reste en conformité, car nous sommes soumis aux exigences réglementaires que notre présence mondiale implique. Nous évaluons en permanence notre posture de sécurité pour nous assurer que nous respectons toutes nos obligations, aujourd’hui comme demain.

Nous échangeons également constamment avec la direction de Rippling pour nous assurer que la sécurité est intégrée dans toute l’organisation. Chaque fois que Rippling procède à un changement, et à chaque lancement d’un produit Rippling, nous l’étudions par le prisme de la sécurité. L’atténuation des risques est une préoccupation permanente, non seulement du point de vue de la conformité, mais aussi pour nos clients. Ces conversations ne sont pas seulement internes : nous rencontrons aussi nos clients pour comprendre leurs besoins en matière de sécurité et de conformité. Ainsi nous pouvons prévoir et mettre en place des mesures adaptées.

Mais s’il y a une chose qui prouve que nous avons pleinement confiance dans nos efforts de conformité, c’est que nous utilisons nos propres produits au quotidien.

Si nous voyons un moyen de renforcer notre posture de sécurité, nous l’ajoutons directement à notre produit. En tant qu’équipe de sécurité, nous collaborons en permanence avec les équipes de recherche et développement et de produit pour améliorer Rippling. Et en matière de sécurité, les améliorations sont toujours prioritaires. Tous les collaborateurs de Rippling unissent leurs forces pour que la protection des données de nos clients reste la priorité numéro 1.