Staffbase obtient la certification de sécurité de l'information
Nous nous sommes entretenus avec notre Chief Information Security Officer Fabian Wiedemann au sujet de notre récente certification ISO 27001. Il explique ce que cela signifie pour Staffbase et pour nos clients.
Qu’est-ce que la certification ISO 27001 et pourquoi est-elle importante pour Staffbase ?
La norme ISO 27001 est un standard international qui définit comment une organisation doit structurer et gérer la sécurité de l’information. Pour Staffbase, cette certification revêt une importance particulière : nous traitons quotidiennement des données sensibles pour le compte de nos clients — données sur leurs collaborateurs, sur leur organisation, sur leurs processus internes. Nos clients nous font confiance pour gérer ces données de manière sécurisée, que ce soit via notre application employé ou notre plateforme intranet.
La sécurité de l’information a donc toujours été une priorité absolue chez Staffbase. Avec cette certification, nous pouvons désormais en apporter la preuve formelle : elle atteste, de manière vérifiable et reconnue à l’échelle internationale, que nous respectons les plus hauts standards en matière de protection des données.
Comment s’est déroulé le processus de certification ?
Nous avons lancé ce projet il y a un an. La première étape a consisté à faire appel à un consultant externe pour réaliser un état des lieux complet : où en étions-nous réellement sur le plan de la sécurité de l’information ?
Ce diagnostic a confirmé ce que nous pressentions : notre niveau était déjà très élevé, notamment en ce qui concerne les processus opérationnels. La sécurité de l’information était déjà profondément ancrée dans notre façon de travailler. Mais ce travail a également mis en lumière plusieurs points qui n’étaient pas encore conformes à la norme. Nous avons donc défini des plans d’action précis et travaillé tout au long de l’année à les mettre en œuvre.
Le processus s'est conclu par un audit de certification mené par le TÜV SÜD, organisme de certification allemand indépendant, reconnu à l'échelle internationale. À l'issue de cet audit, le TÜV SÜD a attesté que notre dispositif de sécurité de l'information est pleinement conforme à la norme ISO 27001.
Ce que cette certification signifie pour nos clients
Pour nos futurs clients, elle apporte une assurance claire : en choisissant Staffbase, vous investissez dans une solution fiable, dont la sécurité est certifiée par un tiers indépendant.
Les grandes organisations ont elles-mêmes l’obligation de démontrer que leurs sous-traitants respectent des standards élevés en matière de sécurité des données. Jusqu’à présent, cela impliquait souvent de longs questionnaires et de nombreux échanges pour nous permettre d’apporter les preuves nécessaires. Avec la certification ISO 27001, nous pouvons simplifier et accélérer considérablement ce processus : le certificat constitue une preuve immédiatement reconnue et opposable.
La certification ISO 27001 de Staffbase, délivrée par le TÜV Süd, remplace les questionnaires de sécurité internes habituellement requis lors de l’évaluation d’un nouveau fournisseur. Elle accélère directement le processus de validation fournisseur — sans avoir à solliciter des justificatifs supplémentaires. La norme ISO 27001 étant un standard international, la certification est reconnue en France comme dans l’ensemble des pays où opèrent vos équipes.
Pour nos clients existants, la certification change peu de choses dans la pratique : la sécurité de l’information était une priorité avant, et elle le reste. Ce qu’ils obtiennent, c’est une confirmation officielle : leur investissement dans Staffbase repose sur une base solide et vérifiée.
Quelles sont les prochaines étapes ?
Nous continuerons bien sûr à faire progresser notre niveau de sécurité. Il y a toujours des processus à affiner, des pratiques à renforcer. Sur le plan formel, nous réaliserons chaque année un audit de surveillance avec le TÜV Süd, et tous les trois ans un audit de recertification complet — ce qui nous permettra de renouveler notre certification et de prouver qu’il ne s’agit pas d’une démarche ponctuelle, mais d’un engagement durable, pleinement intégré à notre façon de travailler.