Cliente

Attività

  • Protagonista principale della transizione energetica e della trasformazione digitale
  • 85.700 collaboratori
  • 1.800 aziende

Sfide

  • Ottenere la certificazione ISO 27001
  • Completare il progetto in 12 mesi
  • Coinvolgere il team e la direzione

VINCI Energies Sistemi Informatici (VESI) è la DSI del gruppo VINCI Energies, che fornisce servizi IT alle 1.700 imprese del gruppo VINCI. Servizi di autenticazione, messaggistica, strumenti collaborativi, ERP e applicazioni Core Business sono distribuiti all’intero gruppo, con specifiche di business per ogni azienda.


La sicurezza informatica è ovviamente fondamentale per tutte queste attività, motivo per cui VESI ha scelto di conseguire la certificazione ISO 27001. Un progetto di grande portata, condotto mano nella mano con i team Advens…

“La sicurezza informatica è sempre più spesso menzionata nelle gare d’appalto a cui le nostre 1.700 aziende rispondono. Si rivolgono a noi per soddisfare le esigenze dei loro clienti. Per noi ottenere la certificazione ISO 27001 significa portare un ulteriore argomento nelle loro offerte.”

Bertrand Leclerc • CISO presso VINCI Energies Sistemi Informatici

La certificazione ISO 27001 per un duplice obiettivo: aumentare la competitività e migliorare le competenze.

Nessun vincolo normativo spingeva VINCI Energies Sistemi Informatici a certificare la sua gestione della sicurezza. L’idea era piuttosto quella di permettere:

  • alle aziende del gruppo di differenziarsi dai loro concorrenti
  • al team di sicurezza di continuare nell’incremento delle proprie capacità

“È stata un’opportunità per capire a che punto eravamo, facendo un’autovalutazione rispetto a uno standard riconosciuto. Il nostro team di sicurezza è stato costituito solo nel 2017, quando abbiamo messo a punto una roadmap per la cyber security.”

Bertrand Leclerc • CISO presso VINCI Energies Sistemi Informatici

La roadmap per la cybersecurity era già basata su un’autovalutazione delle attività di sicurezza rispetto allo standard ISO 27001. L’avvio del processo di certificazione ci ha permesso di valutare in modo obiettivo la sua attuazione.

Un team di progettazione con una vasta gamma di competenze

Certificazione significa organizzazione. Un capo progetto “conformità” viene assunto per condurre il processo di certificazione e per garantire la corretta implementazione e funzionamento del Sistema di Gestione della Sicurezza Informatica (SGSI). Oltre al nuovo arrivato, il direttore operativo dei sistemi informatici (DOSI) sceglie di avvicinarsi a uno specialista in audit di sicurezza e consulenza ISO 27001. I team Advens sono così impegnati nel guidare VESI nel suo percorso.

“Abbiamo già supportato molti clienti nelle loro iniziative ISO 27001. Alcuni lo fanno per motivi normativi, altri per migliorare le competenze nella cybersecurity o ottenere un vantaggio competitivo, come nel caso di VINCI Energies. Ma è anche un quadro, una struttura solida per il futuro!”

Nicolas Pierre • Esperto nel settore della Conformità presso Advens, membro del team di progetto della VINCI Energies

La sfida: 12 mesi per ottenere la certificazione ISO 27001!

Il progetto è stato lanciato. Bertrand Leclerc e Dominique Tessaro, DSI di VINCI Energies, stabiliscono un piano di marcia con una scadenza: VESI ha 12 mesi per ottenere la sua certificazione! Un calendario serrato, in cui il ruolo di Advens è determinante.

“Avevamo bisogno di supporto: la norma ISO 27001 rappresenta un ricco corpus di documentazione e richiede una buona comprensione dei requisiti, oltre alla preparazione per un audit, che non era nel nostro DNA. Avevamo bisogno di un punto di vista esterno. Il team di Advens aveva una grande esperienza in questo approccio e la fiducia si è instaurata immediatamente.”

Bertrand Leclerc • CISO presso VINCI Energies Sistemi Informatici

Un forte bisogno di adesione al progetto

Il team, composto da 4 consulenti Advens, dal capo progetto VESI e da Bertrand Leclerc, ha potuto contare sull’esperienza di 2 referenti confermati ISO 27001. Questi ultimi hanno condotto l’audit interno, prima dell’audit di certificazione. Il punto più critico, oltre al lavoro svolto sulle procedure di sicurezza? Indubbiamente è stato quello di far aderire tutti i collaboratori VESI al progetto.

“Era un progetto aziendale… composto da 550 persone nel gruppo! Bisognava spiegare le ragioni dell’iniziativa e far aderire tutti sapendo che, come in ogni azienda, c’è il turn-over. Bisognava quindi coinvolgere i nuovi arrivati. Una decina di eventi sono stati organizzati per questo, con l’aiuto dei nostri strumenti collaborativi.”

Bertrand Leclerc • CISO presso VINCI Energies Sistemi Informatici

L’importanza del sostegno da parte della direzione

Bertrand Leclerc e il team di progetto hanno lavorato per spiegare il progetto e stimolare l’impegno. Ma hanno potuto beneficiare di un alleato importante: la sponsorizzazione attiva del loro DSI. E il risultato si è rivelato più che soddisfacente: VESI ha ottenuto la certificazione a pieni voti, senza alcuna divergenza segnalata da parte del revisore.
Un verdetto estremamente raro.

“Tra tutti i progetti su cui sono intervenuto, è stato l’impegno della direzione più attiva, con un DSI che si è veramente impegnato e che ha saputo far passare i messaggi giusti ai collaboratori. È stato presente durante tutta la costruzione del sistema di gestione. Il risultato è stato all’altezza di questo impegno!”

Nicolas Pierre • Esperto nel settore della Conformità presso Advens, membro del team di progetto della VINCI Energies

Il seguito: più di una certificazione, un progetto di innovazione a lungo termine…

La certificazione ISO 27001 non è solo un vincolo da rispettare. Il processo non è stato noioso, perché esistevano mille e un modo per soddisfare i requisiti della norma, che è abbastanza ampia e generica nella sua redazione perché i team informatici possano innovare, senza necessariamente rimettere in discussione ciò che era stato messo in atto fino ad allora all’interno del gruppo VINCI.

La certificazione ISO 27001: un progetto da portare avanti

La certificazione ISO 27001 corona l’aumento delle competenze di tutti i team coinvolti e di tutte le professioni, il che non è sempre percepito dalle aziende all’inizio del processo.


Tale processo di certificazione deve essere visto come un progetto a lungo termine, che consentirà all’azienda di entrare in un percorso di miglioramento continuo della sua sicurezza. E il DSI di VINCI Energies Sistemi Informatici ha intenzione di continuare sulla stessa strada…

“La sfida ora è non allentare lo sforzo. A breve termine, dobbiamo tenere il passo con la pianificazione dei prossimi gruppi di lavoro, con la pianificazione del prossimo audit interno e l’evoluzione della documentazione. Se l’audit non ha evidenziato alcuna non conformità, nemmeno quelle di lieve entità, ha messo in evidenza alcuni punti sensibili: altrettanti assi di miglioramento che dobbiamo integrare nel nostro piano d’azione per continuare a rafforzare la cybersicurezza del gruppo.”

Bertrand Leclerc • CISO presso VINCI Energies Sistemi Informatici