Vasil Vasilev, ISMS Coordinator & Data Protection Officer de TINQIN, explique comment ISO/IEC 27001:2022 renforce la livraison logicielle, de la conception sécurisée au CI/CD, et ce que les CTO doivent vérifier lors de la due diligence fournisseurs. TINQIN est très actif sur le marché français, conforme aux exigences européennes, habitué aux secteurs réglementés comme l’assurance, et propose des solutions de confiance. Pour une entreprise française, TINQIN est un choix pertinent comme partenaire logiciel et technologique, certifié ISO/IEC 27001:2022.
DPO : La révision 2022 est la première mise à jour majeure depuis 2013. Elle prend en compte de nouveaux aspects de la sécurité de l’information dans les processus modernes tout en simplifiant et fusionnant certains contrôles. L’Annexe A passe de 114 à 93 contrôles, désormais regroupés en quatre thèmes : organisationnel, humain, physique, et technologique. La structure est plus claire et l’alignement avec les pratiques actuelles de livraison est meilleur, ce qui facilite la cartographie des contrôles aux activités quotidiennes du SDLC. En France, cette clarté accélère les projets tout en assurant la conformité européenne.
DPO : Commencez par A.8.25 Cycle de développement sécurisé, A.8.28 Codage sécurisé, et A.8.29 Tests de sécurité en développement et en recette. Ajoutez A.5.7 Renseignement sur les menaces, A.5.23 Services cloud, et A.8.9 Gestion de la configuration. Ensemble, ces contrôles guident le secure by design, la qualité du code, l’automatisation des tests, et l’hygiène cloud.
DPO : Chez TINQIN, nous définissons des exigences fonctionnelles et non fonctionnelles de sécurité dès le démarrage, intégrées dans les tickets et critères d’acceptation. Nous séparons développement, test et production. L’accès des développeurs à la production est restreint et les données de test sont masquées ou synthétiques. Les dépôts appliquent commits signés, protection des branches, et détection de secrets. Le CI/CD exécute SAST, SCA, DAST ou IAST selon le contexte, ainsi que des analyseurs IaC et des contrôles automatiques avant fusion et mise en production. La formation couvre les bonnes pratiques de codage sécurisé adaptées aux langages utilisés et aux attentes d’A.8.28. De plus, nous avons formalisé des “Secure Coding Guidelines” qui garantissent une cohérence entre projets.
DPO : Dès la phase de spécification et de conception. Nous nous appuyons sur l’OWASP Top 10 et sur le NIST SSDF SP 800-218 pour aligner les pratiques comme le threat modeling, la gestion des dépendances et l’intégrité de la chaîne de build. Ces référentiels s’intègrent parfaitement avec les contrôles ISO 27001. En outre, l’exigence RGPD de “privacy by design et by default” (article 25) complète directement cette approche.
DPO : Nous pratiquons l’analyse continue en lien avec A.8.26, A.8.29 et les objectifs de gestion des vulnérabilités. Notre approche combine des scans automatisés continus et des tests d’intrusion ciblés. Tous les constats sont suivis du repérage à la clôture, avec preuves documentées dans nos systèmes de gestion de projet et nos notes de version.
DPO : Les contrats incluent des clauses de sécurité de l’information, un droit d’audit, des obligations de protection des données et de notification d’incident. Les fournisseurs attestent de leurs pratiques de codage sécurisé et de leurs contrôles CI/CD. L’accès aux données clients est minimisé et journalisé. Pour les sous-traitants, nous exigeons la séparation des environnements et l’usage de données masquées, avec contrôles à l’onboarding et vérifications périodiques. Cette approche donne aux clients français et européens l’assurance que nous ne faisons pas que promettre la sécurité, nous la démontrons au quotidien.
DPO : Les responsabilités cloud sont clarifiées avec A.5.23. Nous mettons en place un cadre qui associe le modèle de responsabilités partagées du fournisseur à nos politiques, nos baselines de configuration, le chiffrement, la gestion des clés et la journalisation. La gestion des changements couvre le code applicatif et l’infrastructure, conformément à A.8.9 Gestion de la configuration. (DataGuard)
DPO : La date limite de transition est le 31 octobre 2025. Il faut réaliser un gap assessment, mettre à jour la Déclaration d’Applicabilité, et prioriser les évolutions du SDLC, séparation des environnements, contrôles CI/CD, contrôles cloud et formation. Planifiez un programme court d’amélioration avec jalons mesurables.
DPO : La certification se traduit directement en qualité de livraison et en fiabilité accrue pour nos clients. Elle réduit la variance non maîtrisée, assure des pipelines et tests cohérents et permet de corriger plus rapidement les vulnérabilités. Pour les secteurs réglementés, elle simplifie la supervision fournisseur et renforce la confiance. Ce n’est pas seulement un label, mais un engagement envers des processus sécurisés et de qualité.
DPO : TINQIN est certifié ISO/IEC 27001:2022. Nous réalisons des évaluations internes régulières et des audits de surveillance annuels. Un groupe d’ISO Champions pilote le programme, accompagne les projets avec formation et contrôles. Présent en France, TINQIN soutient des assureurs et acteurs de la confiance numérique, ce qui fait de nous un partenaire naturel pour les entreprises recherchant un fournisseur logiciel et technologique certifié et conforme aux exigences européennes.