Comment Confluence accompagne votre certification ISO27001 ?

Face à la multiplication des cyberattaques et la prolifération des risques dues aux fuites de données, protéger les datas de son entreprise et de ses clients est devenu indispensable. La norme ISO27001 est aujourd’hui l’une des pionnières en termes de management de la sécurité de l’information et permet d’assurer la protection de vos informations sensibles tout en rassurant les différentes parties prenantes de votre entreprise. Obtenir une certification ISO27001 peut néanmoins s’avérer chronophage. Cependant, il existe des bonnes pratiques et des outils tels que Confluence pour faciliter votre conformité ISO 27001. C’est l’objet de cet article !

Pour vous guider pas à pas, nous aborderons les points suivant :

La norme ISO27001, qu’est-ce que c’est ?

Confluence, l’outil pour faciliter votre conformité ISO 27001

Comment Confluence répond aux exigences de la norme ISO 27001, l’explication vidéo

La norme ISO 27001, qu’est-ce que c’est ?

Avant de s’affairer à décrire le rôle de Confluence dans l’obtention de votre certification ISO 27001, prenons le temps de comprendre tout ce qu’il faut savoir sur la norme ISO 27001 et l’intérêt d’être certifié par cette dernière.

Qu’est-ce que la norme ISO 27001 et à quoi sert-elle ?

Publiée en 2005 puis révisée en 2013 pour coller au mieux aux exigences actuelles, ISO 27001 est une norme reconnue internationalement qui s’applique à la sécurité des systèmes d’information. Elle fait ainsi partie d’une longue liste de normes en lien avec la sécurité des données et s’affiche comme la plus connue d’entre elles. Relative aux systèmes de management de la sécurité et des informations (SMSI), elle spécifie les exigences de ces derniers. Son objectif est simple : protéger les données et informations de toute sorte de vol, perte ou altération et défendre les systèmes informatiques de toute intrusion ou sinistre.

Si elle peut être mise en œuvre par tout type d’organisation dans le but de sécuriser les données sensibles à l’instar de documents confidentiels, données financières ou encore informations relatives à des tiers, la certification ISO 27001 n’est pas obligatoire. Cependant, elle démontre la mise en œuvre d’un SMSI et l’engagement d’une norme internationale dans votre processus de sécurisation des données. Synonyme de pare-feu contre les cyberattaques, la norme ISO 27001 constitue donc une véritable plus value pour votre entreprise, en particulier aux yeux de vos clients et diverses parties prenantes.

Pourquoi être certifié ISO 27001 ?

Parce que tous vos interlocuteurs, quels qu’ils soient, réclament de la fiabilité et ont besoin de confiance au regard de la protection de leurs données, afficher une certification liée à cette problématique est aujourd’hui un atout. Comme nous l’avons expliqué, ISO 27001 est une norme internationale de référence. Elle est donc gage de confiance à l’échelle mondiale et permet de prouver votre conformité à des critères reconnus et spécifiques.

Mais si la certification ISO 27001 vous assure de la confiance et améliore votre réputation, ses avantages ne s’arrêtent pas là ! En effet, elle peut aussi vous faire économiser. Comment ? En évitant les pertes et pénalités dues aux violations des données. La certification ISO 27001 va aussi constituer un élément marketing de première ligne en externe auprès des clients et partenaires mais aussi en interne auprès des employés et des équipes.

En outre, elle répond aussi aux exigences du Règlement Général sur le Protection des Données (RGPD) et délivre aux entreprises un système cadré, évolutif et reconnu !

Confluence, l’outil pour faciliter votre conformité ISO 27001

Afin d’être conforme aux exigences de la norme ISO 27001, des outils, pratiques et bons usages existent. C’est le cas notamment avec Confluence qui dispose de nombreuses fonctionnalités de gestion, contrôle, traçabilité et classification des données permettant d’assurer un maximum de sécurité à vos informations et documents. Revenons ensemble sur les 4 fonctionnalités de Confluence qui vous permettront de gérer au mieux vos données :

  • La gestion des versions et approbations des documents
  • La traçabilité des modifications
  • Le contrôle des accès en lecture
  • Les rapports de classification des données

Gestion des versions et approbations des documents

La gestion des versions et approbations des documents vous permet de retrouver votre historique de modification des pages. Ce service est largement utilisé, notamment pour les audits.

À quoi sert-il ?

C’est tout simple ! Vous pourrez ici savoir qui a créé quel document, qui l’a approuvé et à quelle date. De plus, vous retrouverez en un clic les documents selon leur état : s’ils sont approuvés, en brouillon ou bien en relecture. Vous disposez également de la possibilité de restreindre l’accès aux pages et à leur approbation afin d’assurer toujours plus la sécurité de vos informations.

Comment faire pour gérer les versions et les approbations des documents dans Confluence ?

Pour cela deux façons de faire. La première, plutôt manuelle, vous demandera d’inscrire vous-même l’état de votre page et le relecteur à qui vous souhaitez l’attribuer.

Gestion des versions des documents en manuel dans Confluence Atlassian

💡 L’astuce pour ensuite pouvoir retrouver toutes vos pages ainsi que leur état accompagné de la date de validation et l’auteur de celle-ci dans une page de suivi des approbations est d’utiliser la macro “Rapport sur les propriétés de toutes les pages.

Pour que cela fonctionne, il faut d’abord penser à ajouter une étiquette du type “confidentiel” ou “public” sur chacune de vos pages. Ensuite, vous pouvez créer votre page de suivi des approbations en y insérant la macro “rapport sur les propriétés de pages” et en l’insérant également sur chacune des pages que vous souhaitez suivre. Pour terminer il ne vous reste plus qu’à paramétrer la macro en choisissant l’espace dans lequel vous souhaitez qu’elle s’applique et le nom des étiquettes.

Rapport sur les propriétés de toutes les pages”.

La seconde option pour gérer et approuver vos documents est exécutée par l’intermédiaire de Comala Document Management (une app que vous pouvez intégrer à Confluence). Le principe repose sur la mise en place d’un cycle de vie des documents (workflow) pour s’assurer que chacun passera par les états Brouillon > Relecture > Validé/Rejeté.

Mise en place d'un workflow automatique

Ici, lorsque vous créez une page, elle est directement définie en brouillon. Quand elle est prête vous allez la “soumettre” à la relecture. Cette action déclenchera le passage de la page à l’état de relecture afin que le relecteur approuve ou rejette cette dernière. L’avantage de cette fonctionnalité est qu’il est possible de spécifier qui peut relire la page. Ainsi, un utilisateur qui n’aurait pas cette autorisation ne pourra valider le document. Il est également à noter qu’il est possible de paramétrer le nombre de personnes devant valider la page selon vos besoins et vos équipes.

De plus, toujours dans cette perspective de sécurité et de réponse aux exigences de la norme ISO 27001, Confluence propose un rapport d’activité ou un Workflow History qui assure la conservation de tous les changements effectués sur la page et toutes les informations relatives à ces derniers (date, éditeur de la page, relecteur, approbation…).

Rapport d'activité Confluence Atlassian

Peut-on mettre des documents Word, Excel ou PDF dans Confluence

Oui, mais l’idée est plutôt de créer ses documents dans Confluence et ensuite de les exporter, au besoin, au bon format une fois approuvés.

Peut-on définir automatiquement les relecteurs ?

Oui, des pré-affectations sont possibles. Par exemple, on peut dire que seulement les Product Owners soient définis en tant que relecteurs pour des pages spécifiques.

Peut-on demander une double authentification pour valider l'approbation ?

Oui, il est possible de paramétrer la mention de signature électronique. Vous pourrez alors demander à ce que le document soit validé par le biais d’un système sécurisé comme Google Authentificator par exemple.

Peut-on exporter l'historique des approbations ?

Cela dépend de la version de Confluence que vous utilisez. Avec la version SaaS (Cloud), vous pouvez uniquement enregistrer la page web en PDF. Sur la version locale, hébergée par votre entreprise (Server ou Data Center), l’exportation est possible.

Traçabilité des modifications

La seconde fonctionnalité qu’offre Confluence pour accompagner votre certification ISO 27001 s’inscrit dans la continuité de la gestion des versions et approbations des documents puisqu’il s’agit de la traçabilité des modifications. Cela consiste à pouvoir suivre quelles modifications ont été faites, par qui et à quel niveau du document. Ainsi, chaque page Confluence offre un accès à un historique des modifications. Vous y retrouvez chaque changement, même un simple ajout de virgule ou suppression d’un espace, et avez la possibilité de restaurer, si besoin, les anciennes versions de la page.

Historique des pages Confluence

L’avantage de ce service est qu’il offre la possibilité de comparer deux versions de la page Confluence. Le contenu modifié sera alors identifiable en un coup d’œil puisque les contenus ajoutés, supprimés ou modifiés sont mis en avant par des couleurs.

L’intérêt de la traçabilité des modifications d’un point de vue de la norme ISO 27001 prend tout son sens lors des audits de surveillance et notamment lors du retour sur l’analyse de risques au bout d’une ou deux années. En effet, l’accès aux modifications et anciennes versions du document associé à l’option de comparaison des différentes versions permet une vision globale sur les évolutions et changements de l’année. En comparaison, cette tâche est largement plus chronophage et considérablement moins claire sur des instances telles que Word ou Excel par exemple.

Contrôle des accès en lecture

Autre fonctionnalité très précieuse d’un point de vue de la norme ISO 27001, le contrôle des accès en lecture. L’accès à l’information est au cœur de la problématique de sécurité et Confluence a mis au point un système de restrictions très simple à mettre en place afin d’y pallier. Pour ce faire, il suffit d’actionner le cadenas qui se trouve sur chacune de vos pages Confluence. Grâce à cette option vous pourrez définir qui a accès ou non à la page et par conséquent qui peut lire, modifier ou partager les informations qu’elle contient. Vous pouvez autoriser une ou plusieurs personnes à visualiser la page. Le plus ? Vous allez également pouvoir ajouter des groupes. Par exemple, si vous souhaitez donner accès à tous les Product Owners à certains documents.

Modification du contrôle des accès en lecture

Cette notion d’accès va être fondamentale au regard de la norme ISO 27001. En effet, pour réaliser vos audits, il est nécessaire de créer des documents liés à l’analyse des risques de votre entreprise. Ces documents contiennent très souvent des données sensibles et des informations stratégiques qui constitueraient de véritables menaces si elles venaient à se retrouver à disposition de personnes mal intentionnées. Confluence, notamment grâce au contrôle des accès en lecture, permet alors d’assurer la protection de ces données précieuses. De même, l’accès uniquement en mode lecteur permet aussi d’éviter que certaines informations puissent être récupérées et téléchargées alors que la politique de votre entreprise l’interdit.

Peut-on créer des templates de page avec des accès et un workflow spécifique ?

Oui, il est possible de créer des templates avec des workflows spécifiques. Vous pouvez élaborer des documents avec des schémas très simples : Brouillon > Validé ou des workflows plus complets : Brouillon > Relecture 1 > Relecture 2 > Validé.

Concernant les restrictions, celles-ci sont héritées. C’est-à-dire que si vous souhaitez restreindre l’accès à l’ensemble des pages enfants, il vous suffit de restreindre l’accès à la page parent.

Dans Confluence, une page parent correspond à la page racine à partir de laquelle vous allez créer vos documents (pages enfants). En d’autres termes la page parent pourrait correspondre à un dossier de votre ordinateur et les pages enfants à l’ensemble des documents que vous rangez dans ce dossier. Ainsi en restreignant l’accès au dossier vous restreignez l’accès à tous les documents qui se trouvent à l’intérieur.

Peut-on empêcher l'export sur le matériel d'un utilisateur ?

Il est possible de restreindre les droits d’export. Il faut noter que ces restrictions ne vont pas se faire document par document mais vont s’appliquer sur les utilisateurs. De cette manière, nous pouvons définir si un utilisateur a le droit d’exporter tous les documents, et si un autre n’y est pas autorisé. Souvent seuls les collaborateurs internes sont autorisés à exporter les documents.

Doit-on verrouiller toutes les pages manuellement ?

Non, en restreignant l’accès à la page parente, l’ensemble des pages enfants seront restreintes automatiquement.

Rapport de classification des données

Les rapports de classification des données constituent la dernière fonctionnalité de Confluence qui pourra vous aider dans votre conformité ISO27001. Pour les mettre en place, deux façons existent : manuellement ou grâce à Compliance, une app s’intégrant à Confluence.

Les rapports de classification des données reposent sur la définition de niveaux (confidentiel, interne, public…) qui vont être attribués à vos documents et qui permettront donc de restreindre leur accès et les actions possibles sur ces derniers. Comme mentionné plus tôt, cela peut se faire manuellement en affectant des étiquettes sur les pages de votre Confluence.

étiquette manuelle des rapports de classification

Il suffit de cliquer sur l’étiquette et de rentrer manuellement le niveau de classification souhaité. En vous rendant sur la page de classification des données vous verrez ainsi les informations se mettre à jour et vos pages rangées selon leur niveau de classification.

création des étiquettes
page de classification des données

Cependant, il faut noter que cette technique peut être un peu longue puisqu’il faut manuellement ajouter à la fois les étiquettes et les restrictions d’accès liées au niveau de ces dernières.

Pour automatiser ce processus, l’add-on Compliance for Confluence peut être utilisé. Il va vous permettre de configurer des niveaux d’accès automatiques selon la classification des données.

sécurité des données - Compliance

Cette fonctionnalité est d’autant plus utile qu’il est possible de préciser la politique associée à chaque niveau de classification et ce, de manière personnalisée selon votre entreprise, vos besoins et les utilisateurs à qui vous souhaitez laisser ou non l’accès à la page.

Compliance - politique des niveaux de classification des données
Compliance - niveaux de classification des données

De plus, il est possible de suivre l’état de chaque page afin d’avoir des audits toujours plus précis.

Compliance search Confluence Atlassian

Ici encore, le service prend tout son sens vis-à-vis de la norme ISO 27001 puisque chaque document peut être classifié selon le degré de protection qu’il demande et ainsi éviter les fuites de données.

Peut-on limiter les choix des étiquettes ?

Oui, par défaut vous pouvez mettre toutes les étiquettes que vous souhaitez.

Webinar : Confluence et la norme ISO 27 001

À l’occasion de notre webinar dédié à la sécurité: “Comment Confluence accompagne votre certification ISO 27001 ?”, Manon Soubies-Camy, consultante experte Confluence chez Twybee, et Alban Caouren, consultant et auditeur ISO 27001 chez Inotyko, sont revenus sur les éléments à mettre en place pour assurer la sécurité de vos informations et ce, notamment grâce à Confluence. Ils vous expliquent le tout au travers de démos pour mettre en place les bons outils et adopter les bons réflexes !

Vous souhaitez obtenir la certification ISO 27001 ? Confluence est là pour vous y aider ! Cet outil performant centralise les connaissances de votre entreprise et facilite votre conformité ISO 27001.

✅ 10 autres bonnes raisons d’utiliser Confluence comme wiki d’entreprise

Pour aller plus loin, vous pouvez consulter notre guide complet Confluence ou vous inscrire à notre prochaine session de formation.

Faites-nous part de votre objectif, et prenez rendez-vous avec nous ! Nos consultants certifiés Atlassian sont là pour vous accompagner à chaque étape de votre projet !

Contactez-nous

  • Nous nous engageons à vous recontacter sous 48 heures
  • Nous discutons ensemble de votre contexte et vos enjeux
  • Nous construisons une proposition de services pour vous accompagner dans les meilleurs délais

Share This