Aller au contenu
Heedify
EN
← Retour au blog

Industry Insights

Heedify certifié ISO 27001 pour les centres de contact Teams

Heedify est certifié ISO/IEC 27001:2022 par AFNOR Certification. Ce qui change pour les entreprises qui font tourner leur centre de contact Teams.

Par Mefteh Werghemmi, Co-fondateur, Heedify
  • iso 27001
  • sécurité
  • conformité
Heedify certifié ISO/IEC 27001:2022 par AFNOR Certification, accréditation COFRAC

Toute sélection d’un fournisseur SaaS B2B finit par buter sur la même conversation.

L’équipe achat demande la documentation sécurité. Le RSSI demande un rapport d’audit. Le service juridique demande l’accord de traitement de données. Puis arrive le questionnaire sécurité de 200 lignes. Et un autre l’année suivante pour le renouvellement.

C’est un goulot d’étranglement connu. Il transforme des cycles d’achat de quelques semaines en mois de discussions.

On vient de supprimer ce goulot.

Heedify est désormais certifié ISO/IEC 27001:2022 par AFNOR Certification, l’organisme national français de normalisation, sous la marque AFAQ accréditée par le COFRAC.

Cet article explique ce que ça change concrètement pour les personnes qui choisissent Heedify pour faire tourner leur centre de contact Teams, et pourquoi on pense que ça compte plus qu’un badge sur un site web.

Le vrai problème que résout ISO 27001

Quand on vend ou qu’on achète du SaaS, on connaît la chanson.

L’acheteur veut s’assurer que le fournisseur ne deviendra pas le point d’entrée d’un incident sécurité. Le fournisseur doit le prouver. Donc l’acheteur envoie un questionnaire. Le fournisseur répond à 80, 150, parfois 250 questions sur les politiques, les contrôles, le chiffrement, la gestion d’incidents, la gestion des sous-traitants, la continuité d’activité, et tout le reste.

Multipliez ça par chaque fournisseur dans votre stack et vous avez un métier, pas un processus d’achat.

Pour un fournisseur de centre de contact Teams comme Heedify, qui exploite aussi une console réceptionniste native Microsoft Teams, les enjeux sont plus élevés que la moyenne :

  • Les appels entrants sont routés et enregistrés
  • L’identité de l’appelant et les données CRM sont consultées
  • Des transcriptions et résumés sont produits et stockés
  • Des données personnelles transitent par votre tenant et reviennent

Votre RSSI a raison de poser des questions difficiles. Nous le ferions aussi à sa place.

ISO 27001 est la réponse internationale à cette question. C’est la norme de management de la sécurité de l’information la plus reconnue au monde. Elle dit : un tiers indépendant et accrédité a audité notre posture sécurité par rapport à un référentiel fixe, et nous sommes conformes.

Ça ne remplace pas la conversation avec votre équipe sécurité. Mais ça permet de commencer cette conversation à un niveau bien plus élevé.

Ce que veut dire concrètement ISO 27001

ISO/IEC 27001:2022 certifie qu’une organisation fait tourner un Système de Management de la Sécurité de l’Information (SMSI) structuré, avec :

  • Un périmètre clairement défini de ce qui est couvert
  • Un processus d’évaluation des risques répété, pas une démarche ponctuelle
  • 93 contrôles regroupés en 4 thèmes (organisationnel, humain, physique, technologique)
  • Une Déclaration d’Applicabilité (SoA) qui liste les contrôles applicables et pourquoi
  • Un processus documenté de réponse à incident et de continuité d’activité
  • Une amélioration continue via audits internes et revues de direction

La certification est délivrée après un audit stage 1 (revue documentaire) et stage 2 (audit opérationnel sur site). Ensuite elle est réauditée chaque année par l’organisme certificateur, et entièrement renouvelée tous les trois ans.

Ce n’est pas un instantané. C’est un engagement continu.

Pourquoi nous avons choisi AFNOR Certification

Tous les certificats ISO 27001 ne pèsent pas le même poids aux yeux d’un acheteur. Le certificateur compte autant que la certification elle-même, et votre RSSI le sait.

On a choisi AFNOR Certification pour trois raisons concrètes :

Une reconnaissance mondiale. AFNOR Certification est l’organisme national français de normalisation. Ses certificats sont reconnus par l’IAF (International Accreditation Forum), l’accord mondial de reconnaissance mutuelle qui relie les organismes d’accréditation dans plus de 80 pays. Votre équipe achat en UE, aux États-Unis, au Royaume-Uni, en APAC ou ailleurs accepte le certificat sans avoir à valider d’abord le certificateur.

L’indépendance de la chaîne d’audit. AFNOR Certification est elle-même accréditée par le COFRAC, l’organisme français d’accréditation, membre de l’European Cooperation for Accreditation (EA). C’est la méta-question que finit par poser votre RSSI : qui audite l’auditeur ? La réponse ici est un organisme indépendant évalué par ses pairs au niveau européen et international, pas un organisme auto-déclaré.

La rigueur du régime AFAQ. La marque AFAQ, propriété d’AFNOR, est réservée aux organisations qui passent une revue de processus stricte. Un fournisseur qui présente un certificat AFAQ ISO 27001 n’a pas seulement atteint la norme, il l’a atteinte sous l’un des régimes de certification les plus exigeants d’Europe.

Pour vos équipes achat et sécurité, un certificat ISO 27001 AFNOR Certification est un document qui ne génère pas de questions complémentaires sur le certificateur. Ce sont des heures de réunion que vous n’avez plus à passer.

Le périmètre de notre certification

Le périmètre est ce que la plupart des gens oublient de lire sur un certificat. Certains fournisseurs se font certifier sur un sous-ensemble minuscule de leurs activités et laissent penser que ça couvre tout.

Voici le périmètre exact de notre certificat :

Development, hosting and maintenance of a Contact Center as a Service (CCaaS) solution for organisations using Microsoft Teams as their telephony platform.

(Développement, hébergement et maintenance d’une solution Contact Center as a Service pour les organisations utilisant Microsoft Teams comme plateforme de téléphonie.)

C’est le produit entier. Pas une partie. Le développement, l’hébergement, la maintenance : tout ce qui touche aux données de votre centre de contact est dans le périmètre.

On a aussi choisi de se faire certifier sur la version ISO/IEC 27001:2022, pas sur la version 2013 sur laquelle certains fournisseurs sont encore. La 2022 est la version la plus récente de la norme, avec des contrôles mis à jour pour refléter les réalités modernes du cloud et du travail à distance.

Ce qui change concrètement pour vous, notre client

C’est la partie qui compte.

1. Votre processus d’achat va plus vite

Vous pouvez nous demander une fois notre certificat, un résumé public de notre Déclaration d’Applicabilité, et notre DPA. Vous apportez ça à vos équipes achat et sécurité, et vous sautez la phase de questionnaire long, ou vous la remplissez 3x plus vite parce que les réponses correspondent directement aux contrôles ISO 27001.

2. Votre RSSI a une assurance objective

ISO 27001 est un vocabulaire que votre équipe sécurité parle déjà. Elle sait ce qui est couvert, ce qui ne l’est pas, et quoi demander. Une conversation qui commençait par “expliquez votre posture sécurité” commence maintenant par “montrez-nous comment votre SoA gère le chiffrement et quel est votre écart sur l’annexe A”.

C’est une conversation productive. Pas défensive.

3. Vos renouvellements sont plus simples

Le goulot achat ne disparaît pas une fois que vous avez signé. Tous les deux ou trois ans, l’appel d’offres revient et la même conversation recommence. Avec ISO 27001, la conversation de renouvellement est nettement plus courte : le certificat est toujours valide, l’audit est annuel, rien de fondamental n’a changé.

4. Vos secteurs régulés sont plus simples à servir

Si vous êtes dans la finance, le secteur public, la santé, ou tout secteur régulé, vos propres auditeurs et régulateurs vont examiner vos fournisseurs. Le fait que Heedify soit certifié ISO 27001 répond à une bonne partie de leurs questions avant même qu’ils les posent.

5. Votre confiance repose sur un processus, pas sur du marketing

Tous les fournisseurs SaaS affirment “prendre la sécurité au sérieux”. Les mots ne coûtent rien. Un audit externe accrédité par rapport à un référentiel fixe, si.

Comment Heedify aborde la sécurité au quotidien

La certification n’existe pas dans le vide. C’est la reconnaissance formelle de notre manière de fonctionner tous les jours.

Quelques détails :

  • Construit sur Microsoft Azure et Azure Communication Services. On hérite de la posture de conformité sous-jacente de Microsoft (Azure est lui-même ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, HDS dans les régions concernées, et plus)
  • Isolation par tenant by design. Vos données d’appels, vos transcriptions, vos consultations CRM restent dans votre tenant Microsoft 365. Pas de base multi-tenant partagée où les données clients se mélangent
  • Résidence des données au choix. EU, États-Unis, Royaume-Uni, APAC : vous choisissez la région Azure. On déploie là
  • Pas d’entraînement IA sur vos appels. Vos conversations ne sont jamais utilisées pour entraîner les modèles de base. Jamais
  • Conforme RGPD by design. Captation du consentement, politique de rétention, droit à l’effacement. Votre DPO a la documentation, les contrôles, et la traçabilité d’audit
  • Enregistrement avec consentement. Les fonctionnalités d’enregistrement respectent la loi locale et votre politique interne. L’appelant est informé et le consentement est capté avant stockage

ISO 27001 est la validation structurelle de tout ce qui précède par un tiers qui a l’autorité pour le dire.

Ce qu’ISO 27001 ne remplace pas

On veut être honnêtes sur ce que cette certification signifie et sur ce qu’elle ne signifie pas.

Elle ne remplace pas :

  • Votre propre AIPD (Analyse d’Impact relative à la Protection des Données). Si votre cas d’usage implique des catégories sensibles de données, vous devez toujours faire l’AIPD. On vous aidera avec les éléments d’entrée mais on ne peut pas la faire à votre place.
  • HDS (Hébergement de Données de Santé) si vous êtes dans la santé en France. ISO 27001 est la fondation, HDS est une certification séparée avec son propre périmètre. On évalue HDS pour une certification future.
  • SOC 2 Type II si votre équipe achat US le demande spécifiquement. On travaille à SOC 2 comme certification complémentaire.
  • Les régulations sectorielles comme DORA en finance UE ou FedRAMP au fédéral US. ISO 27001 est une baseline solide qui démontre une maturité, mais les secteurs spécifiques ont des obligations spécifiques.
  • Votre propre opération sécurité. Votre pare-feu, votre protection endpoint, votre gestion d’identité, vos politiques d’accès conditionnel. Heedify est un élément d’un tableau plus large, et on ne vous retire pas cette responsabilité.

ISO 27001 est une baseline crédible et reconnue internationalement. Considérez-la comme le point de départ de la confiance, pas comme le point d’arrivée.

Ce qui suit chez Heedify

ISO 27001 est la fondation. On ne s’arrête pas là.

Sur notre roadmap :

  • SOC 2 Type II pour nos clients et partenaires US
  • HDS en évaluation pour les centres de contact santé français
  • Audits de surveillance ISO 27001 annuels, qui est le rythme naturel de la certification

Le point n’est pas de collectionner les badges. C’est de s’assurer qu’à mesure que Heedify grandit et que les besoins de nos clients évoluent, notre posture sécurité grandit avec eux.

Parlez à notre équipe sécurité

Si vous évaluez Heedify et voulez une conversation plus poussée sur notre posture sécurité, on est ravis de l’avoir.

  • Écrivez directement à notre équipe sécurité : cybersecurity@heedify.io
  • Demandez le résumé public de notre Déclaration d’Applicabilité, notre Politique de Sécurité de l’Information, et notre modèle de DPA
  • Réservez une démo et amenez votre RSSI dans la conversation : on accueille les questions

La confiance se construit une conversation honnête à la fois. Le certificat est une preuve crédible et accréditée. La conversation reste la partie qui compte.

Questions fréquentes

Heedify est-il certifié ISO 27001 ?

Oui. Heedify est certifié ISO/IEC 27001:2022, la norme internationale de management de la sécurité de l’information, par AFNOR Certification sous la marque AFAQ accréditée par le COFRAC.

Quel est le périmètre de la certification ISO 27001 de Heedify ?

Le périmètre couvre le développement, l’hébergement et la maintenance de la solution Contact Center as a Service (CCaaS) de Heedify pour les organisations qui utilisent Microsoft Teams comme plateforme de téléphonie. Cela couvre à la fois le centre de contact et la console réceptionniste qui tournent sur la plateforme Heedify.

Sur quelle version d’ISO 27001 Heedify est-il certifié ?

ISO/IEC 27001:2022, la version la plus récente de la norme. C’est la même version reconnue sous la norme européenne NF EN ISO/IEC 27001:2023.

Qui est l’organisme certificateur ?

AFNOR Certification, l’organisme national français de normalisation. AFNOR Certification est elle-même accréditée par le COFRAC (Comité français d’accréditation), membre de l’European Cooperation for Accreditation (EA), et reconnue à l’international via l’IAF (International Accreditation Forum).

Où récupérer le certificat ISO 27001 de Heedify et sa Déclaration d’Applicabilité ?

Écrivez à cybersecurity@heedify.io. On partage le certificat et un résumé public de notre Déclaration d’Applicabilité avec les clients et prospects sur demande, en même temps que notre Data Processing Agreement (DPA).

Est-ce qu’ISO 27001 signifie que Heedify est conforme RGPD ?

ISO 27001 fournit la baseline structurelle de sécurité de l’information qui soutient la conformité RGPD. Heedify implémente en plus le RGPD by design : capture du consentement, politique de rétention, droit à l’effacement, piste d’audit, et un DPA disponible pour chaque client. ISO 27001 et RGPD sont complémentaires, pas équivalents.

Quelles autres certifications Heedify prépare-t-il ?

Heedify évalue SOC 2 Type II pour les clients orientés US et HDS (Hébergement de Données de Santé) pour les déploiements en centre de contact santé. Les audits de surveillance ISO 27001 s’enchaînent annuellement dans le cycle de vie de la certification.

L’infrastructure sous-jacente de Heedify est-elle aussi certifiée ?

Oui. Heedify est construit sur Microsoft Azure et Azure Communication Services. Azure détient lui-même les certifications ISO/IEC 27001, ISO/IEC 27017 (contrôles de sécurité cloud), ISO/IEC 27018 (vie privée cloud), SOC 1/2/3 et HDS dans les régions européennes concernées. La certification ISO 27001 de Heedify ajoute la couche applicative et opérationnelle par-dessus.