Retour à l'accueil
  • #Iso27001
  • #Hds
  • #Securite
  • #Conformite
  • #RetourExperience

Road2ISO - Épisode 1 : Pourquoi ?

Parce que malheureusement on a croisé peu de littérature sur cette thématique et parce que rares sont les « boîtes » de notre taille qui se lancent sur ces sujets, on a choisi de vous partager notre « aventure » vers les certifications ISO 27001 et HDS.

  1. On aurait pu continuer sans
  2. Une appétence pour la cyber, pas une contrainte
  3. Ce qu'on voit au quotidien
  4. Le contexte réglementaire : vous êtes probablement concernés… et nous aussi !
  5. Le déclic : la collaboration d'Elao avec Ansara
  6. Se rassurer : est-ce qu'on fait vraiment bien ?
  7. Préparer la croissance
  8. Des équipes essentiellement tech'
  9. Notre mission : la sécu accessible aux PME
  10. La suite
  11. Références
    1. Fuites de données
    2. Réglementations NIS2 et CRA
    3. Illustrations
Écrit par La team Rix
Publication 20 janvier 2026 Modification 24 février 2026

On aurait pu continuer sans

Bah ouais… En vrai, soyons honnêtes : rien ne nous obligeait à nous lancer dans cette démarche. Nos clients sont satisfaits (enfin, c'est ce qu'ils nous disent), nos infras tiennent la route (paraît-il qu'on n'est pas manchots). On aurait donc pu continuer notre bonhomme de chemin à faire ce qu'on fait depuis des années, sans se poser plus de questions.

MAIS, et oui il y a un mais, on a choisi de formaliser, de se tester aussi et peut-être quelque part également de se rassurer. De passer d'une culture de la rigueur (ou plutôt d'un sentiment de rigueur, puisque tout n'est pas mesuré) à un cadre structuré et auditable.

Et puis, pour nous qui nous sommes toujours appuyé sur des savoir-faire en grande majorité français, proposer une offre solide qui tient la route et qui répond aux exigences de sécurité et de conformité c'est un peu la suite logique. Également parce qu'on n'est pas idiots et qu'on regarde le monde avec nos regards de vieux briscards moins naïfs qu'hier, qui sentent « un peu » le vent géopolitique tourner, et qu'on se dit que si on est capable de proposer une solution moins sujettes aux turbulences du monde, c'est peut-être pas plus mal.

Une appétence pour la cyber, pas une contrainte

On s'est toujours efforcés d'être pointus sur la conception de nos infrastructures, d'être à la page sur les technos et les bonnes pratiques. Toujours vigilants sur l'utilisation et le stockage des données qu'on nous confie, parce qu'elles ont toujours été au cœur des enjeux (et ce ne sont pas les différentes fuites de données que l'on peut voir régulièrement qui nous feront mentir). Et aussi parce qu'au cours de nos (longues) carrières, on a quand même souvent vu que certains en faisaient un peu n'importe quoi, de ces données.

Il faut aussi dire que la sécurité n'a jamais été qu'une case à cocher et qu'elle a toujours été au cœur de nos préoccupations. C'est une conviction qui nous dessert parfois, mais qui est très ancrée dans notre façon de fonctionner. Une sensibilité qui vient de loin, portée par des profils techniques qui ont suffisamment roulé leur bosse pour savoir que la négligence se paie tôt ou tard et que dans ce cas-là on ne parle pas de « si » mais plutôt de « quand ».

ISO 27001, c'est donc la suite logique : formaliser ce qu'on faisait déjà, le faire mieux et surtout mettre en place des processus qui poussent à l'amélioration continue (parce que oui, les menaces, elles bougent vite), bref aller un peu plus loin.

La finalité de tout ça ? Accompagner nos clients de la meilleure des façons en leur proposant également des solutions qui répondent aux besoins que peuvent avoir des PME avec budget cyber limité (quand il y en a).

Ce qu'on voit au quotidien
Erreurs courantes en cybersécurité On ne va pas se mentir : la maturité cyber de beaucoup d'acteurs est faible. Parce que ça n'arrive qu'aux autres, parce que ça coûte cher sans apporter grand-chose si ce n'est des contraintes à la valeur produite et parce qu'on entend souvent c'est « pour les grosses boîtes, ces préoccupations de sécurité ».

On le constate tous les jours et on ne jette pas la pierre. On le sait que c'est chronophage, que les ressources compétentes sont rares, qu'on a souvent « autre chose à faire » et qu'on verra bien si jamais ça arrive…

Alors on a des classiques :

• Des identifiants « laissés » dans des dépôts Git ou stockés dans des fichiers partagés
• Aucune revue des comptes utilisateurs
• Des transmissions de fichiers sensibles à l'aveugle, sans chiffrement, sans traçabilité
• Des environnements non maîtrisés
• Un suivi des mises à jour inexistant ou sporadique
• Des équipes à l'aveugle (on en parle un peu plus dans cet article)

Et des plus saugrenues :

Ce n'est pas révéler un secret que de dire qu'on a tous un jour croisé cet e-commerçant qui stocke les numéros de CB des clients dans son CRM (« parce que c'est plus simple pour nos clients qui sont de la vieille école et qui n'osent pas utiliser les TPE. Le SAV passe les commandes pour eux par téléphone ! »). CRM bien évidemment installé sur une vieille babasse sous un bureau, pas mise à jour depuis 5 ans, non chiffrée et à la portée du premier cambrioleur venu.

Bon, en tout cas nous ça nous est arrivé et il n'y en avait pas 10 des numéros, il y en avait près de 250 000.

La plupart du temps, ce n'est pas de la mauvaise volonté : les priorités comme les budgets sont ailleurs, c'est trop cher et puis après tout on a toujours fait comme ça !

Sauf que les incidents se multiplient. Les fuites de données, il y en a toutes les semaines. Des hôpitaux, des collectivités, des entreprises de toutes tailles se font trouer.

Rien qu'en 2024 et 2025, les fuites massives se sont enchaînées : France Travail (43 millions de dossiers), Free (19 millions de clients), Boulanger, SFR, Auchan, Picard… La CNIL a recensé plus de 5 600 violations de données en 2024, un record. Personne n'est épargné.

Et donc plutôt que de laisser certaines de ces entreprises sans solutions « accessibles », on se dit qu'on a peut-être des choses à proposer en se positionnant comme une équipe capable d'amener des solutions qui tiennent la route avec des offres plus concurrentielles que celles des grosses ESN.

Le contexte réglementaire : vous êtes probablement concernés… et nous aussi !
NIS2, CRA… beaucoup de réglementations entrent en application entre 2025 et 2027 et beaucoup pensent ne pas être concernés.

Sauf que dès lors que vous êtes sous-traitant d'un acteur lui-même concerné, vous êtes dans le périmètre. La chaîne de responsabilité ne s'arrête pas au donneur d'ordre. Si votre client est soumis à NIS2 et que vous hébergez ses données ou maintenez son infrastructure, vous êtes embarqués (ça c'est nous par exemple).

On peut être sceptique sur l'application effective de ces textes eu égard au comportement de la CNIL par rapport au RGPD. Cela reste un pari que l'on peut choisir de prendre, mais le risque est là, et mieux vaut être prêt que de se retrouver le bec dans l'eau.		 Cascade de conformité NIS2/CRA

En tout cas nous, nous partons du principe que nous adressons et allons continuer d'adresser des clients qui vont y être soumis, autant leur faciliter la tâche en leur garantissant d'emblée une conformité en ce qui nous concerne.

Le déclic : la collaboration d'Elao avec Ansara

Il y a des clients parfois qui amènent le déclencheur à une décision qui mûrit depuis quelque temps mais pour laquelle il demeure encore un peu d'hésitation. C'est le cas d'Evelyne à la tête d'Ansara Pharmacare pour laquelle Elao développe une application qui sera amenée à contenir de la donnée de santé, qui nous a gentiment poussés à accélérer la décision. Elle nous fait confiance, mais elle a besoin de cette garantie HDS.

Ce genre de demande, on aurait pu la voir comme une contrainte. On l'a vue comme une opportunité. Merci de nous avoir un peu bousculés ;)

Se rassurer : est-ce qu'on fait vraiment bien ?

On pense bien faire, certes. Mais est-ce qu'on fait vraiment bien ? Qui sommes-nous finalement pour juger du bien-fondé de ce que l'on fait, nous avons nos biais comme tout un chacun et ne sommes pas à l'abri d'une mauvaise décision ou d'un mauvais design.

Accepter d'être audités c'est aussi ça : un regard externe, une validation tierce de nos pratiques. Passer de l'intuition à la preuve. De « on a toujours fait comme ça » à « voilà pourquoi on fait comme ça, et voilà comment on le vérifie ».

C'est la suite logique de l'évolution de nos structures. Ce qui marchait à cinq doit tenir à vingt, puis à cinquante. On ne voulait pas attendre d'être trop gros pour structurer. La dette de conformité, c'est comme la dette technique : plus tu attends, plus ça coûte cher.

Préparer la croissance

On ne s'en cache pas, après avoir dignement fêté les 20 ans d'Elao, nous avons l'ambition de grossir. De devenir un acteur lyonnais davantage connu (et reconnu) sur le marché de l'hébergement et de l'infogérance de systèmes critiques.

Et pour ça, mieux vaut partir sur des bases solides que de devoir rattraper plus tard. Construire le cadre maintenant, pendant qu'on est encore à une taille qui nous autorise beaucoup de souplesse, plutôt que de le subir quand on sera débordés.

Des équipes essentiellement tech'

Un point crucial : nos équipes ont dans la grande majorité un profil technique et donc une certaine sensibilité naturelle aux choses bien faites.

La démarche ISO, même si elle apporte son lot de questionnements, intéresse globalement, bien qu'elle soit encore en phase d'observation par les équipes.

Son implémentation et son acceptation seront d'ailleurs un point très intéressant à dérouler par la suite. Après des années à conduire le changement pour nos clients, nous allons nous-mêmes nous prêter à l'exercice :)

Car il ne faut pas oublier qu'il va aussi falloir convaincre les fonctions « support » qui sont transverses entre Elao et Rix (Commercial, Communication, RH…), qui sont moins technophiles et peut-être moins familières de ce type de changements.

Notre mission : la sécu accessible aux PME

On a un positionnement souverain assumé. On propose des infrastructures solides en se passant quand c'est possible des hyperscalers américains, pour les problématiques de gouvernance et de confidentialité des données que vous connaissez tous.

Mais on veut aller plus loin. Nos clients sont souvent des PME. Pour eux, les démarches de sécurité, les audits, les prestataires spécialisés… c'est souvent hors budget. Réservé aux grands comptes avec des budgets à 6 chiffres.

On estime avoir un devoir : leur proposer un niveau de service qu'ils ne pourraient pas s'offrir autrement. Mutualiser l'effort pour que tous en bénéficient et s'intéressent à un sujet trop souvent boudé par les plus « gros » parce que pas assez lucratifs.

Bref, faire de la vraie sécurité, accessible, sans arriver avec des budgets délirants liés à une taille de structure qui entraîne de grosses frictions dans le fonctionnement quotidien.

Et pourquoi pas, pouvoir se positionner sur ce même marché mais avec la vélocité et la souplesse que peuvent apporter les plus petites structures.

La suite

Eh bien, on va tâcher de documenter notre parcours : l'état des lieux initial, la construction du SMSI, la gestion des risques, les mesures techniques, la préparation à l'audit…

Le but n'étant pas de se poser en donneurs de leçon mais bien d'essayer de raconter comment ça se passe « en vrai », faire un vrai retour d'expérience sur l'impact, le coût, les difficultés et qui sait, peut-être motiver d'autres structures de taille modeste.

Ah oui et bien évidemment on n'y va pas la fleur au fusil, nous sommes accompagnés sur les bons conseils des copains de Vaadata par Akant, nos nouveaux copains qui ont la difficile tâche de s'assurer que nous sommes prêts !

À suivre.

Références

Fuites de données

Réglementations NIS2 et CRA

Illustrations

Écrit par La team Rix