Kinsta s’est toujours efforcé de préserver la sécurité de sa plateforme d’hébergement et des sites web de ses clients. Qu’il s’agisse de protéger les informations des comptes, de fournir des outils pour prévenir les attaques DDoS externes, de détecter et de nettoyer les logiciels malveillants ou d’alerter les propriétaires de sites web sur les vulnérabilités des extensions WordPress, la sécurité de l’information est l’un de nos points forts.

Mais les sociétés d’hébergement peuvent facilement prétendre à cela. Le prouver est un défi.

La meilleure façon de prouver ces affirmations est de développer des pratiques et des politiques de sécurité de l’information qui répondent à des normes largement reconnues, puis de faire confirmer la conformité à ces normes par des experts indépendants.

C’est ainsi que Kinsta a obtenu pour la première fois en 2023 la conformité aux critères de services fiduciaires System and Organization Controls 2 (SOC 2) développés par l’Association of International Certified Professional Accountants (AICPA).

Puis, en août 2024, après une année complète de surveillance SOC 2, nous avons reçu la certification pour les contrôles de sécurité des données et de confidentialité spécifiés par l’ Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI).

Cet article examine la certification ISO/CEI de Kinsta selon la norme ISO 27001 et deux de ses extensions, ISO 27017 et ISO 27018.

Qu’est-ce que la norme ISO 27001 ?

Erik Van Dijk, responsable informatique de Kinsta, a dirigé les efforts de certification ISO 27001 et a déclaré que le cadre est « l’étalon-or » de la conformité en matière de sécurité.

La norme ISO 27001 spécifie les contrôles nécessaires pour préserver la confidentialité, l’intégrité et la disponibilité des informations au sein d’une organisation. Voici ce que cela signifie :

  • Confidentialité – Veiller à ce que seules les personnes autorisées puissent accéder aux informations.
  • Intégrité – Veiller à ce que seules les personnes autorisées puissent modifier les informations.
  • Disponibilité – S’assurer que les informations sont accessibles aux personnes autorisées lorsqu’elles en ont besoin.

Selon M. Van Dijk, la norme ISO 27001 définit les exigences relatives aux différents éléments d’un système de gestion de la sécurité de l’information (SGSI). Mais ce système ne se limite pas au matériel et aux logiciels. Outre ces contrôles technologiques, le SGSI comprend des contrôles organisationnels, humains et physiques :

  • Contrôles organisationnels – Définir les règles à suivre et le comportement attendu des utilisateurs, des équipements, des logiciels et des systèmes.
  • Contrôles liés au personnel – Fournir des connaissances, une formation, des compétences ou de l’expérience aux membres de l’organisation afin qu’ils puissent effectuer leur travail en toute sécurité.
  • Contrôles physiques – Dispositifs tels que les cartes d’accès aux centres de données, les caméras de surveillance et les capteurs de détection d’intrusion.

Que sont les normes ISO 27017 et 27018 ?

M. Van Dijk explique que les normes ISO 27017 et 27018 sont des extensions certifiables de la norme ISO 27001 et qu’elles sont particulièrement pertinentes pour Kinsta car elles s’appliquent toutes deux aux environnements d’informatique dans le cloud.

La norme ISO 27017 prescrit des contrôles de sécurité et des conseils de mise en œuvre pour les environnements d’informatique dans le cloud. Ces contrôles s’appliquent à des tâches telles que

  • Traitement des ressources des clients après la résiliation du contrat.
  • Séparation des environnements virtuels des clients.
  • Surveillance par le client de l’activité dans un environnement d’informatique dématérialisée.

La norme ISO 27018 se concentre sur la protection des informations personnelles identifiables dans les environnements de cloud computing. Ces contrôles portent sur des questions telles que

  • Transparence dans la communication de l’emplacement géographique des entrepôts de données des clients.
  • Restrictions sur l’utilisation des données des clients sans leur consentement.
  • Méthodes sécurisées de renvoi, de transfert et d’élimination des informations personnelles.

Calendrier de la certification ISO de Kinsta

L’année qui s’est écoulée depuis l’obtention de la conformité SOC 2 a été très chargée pour l’équipe chargée de la conformité en matière de sécurité, en particulier pour M. Van Dijk, qui étudiait et obtenait en même temps le titre de Certified Information Systems Security Professional (CISSP).

La désignation initiale SOC 2 en 2023 a fait suite à une période d’audit de trois mois et s’appliquait au service fiduciaire de sécurité fondamentale. Ce projet s’est transformé en un contrôle continu assorti d’un rapport annuel et s’est étendu pour intégrer les critères de disponibilité et de confidentialité de SOC 2.

Entre-temps, nos travaux sur la norme ISO 27001 étaient déjà en cours. M. Van Dijk a déclaré que ses recherches approfondies sur les exigences de la norme ISO 27001 ont commencé vers novembre 2023.

« La norme ISO 27001 est très axée sur la documentation et les processus », explique-t-il. « Elle contient encore un certain nombre de contrôles techniques, mais l’idée maîtresse du framework est de mettre en œuvre un système de gestion de la sécurité de l’information et les politiques et procédures associées

Selon M. Van Dijk, une analyse des lacunes a montré que le projet SOC 2 avait déjà permis de réaliser environ 40 % du travail à effectuer pour les certifications ISO. Ainsi, lorsqu’une équipe interentreprises s’est réunie en décembre 2023, elle a pu rapidement commencer à téléverser des informations sur l’état de la situation vers Vanta, la plateforme choisie pour aider à la collecte de preuves.

L’équipe a créé 13 nouvelles politiques ISMS et a affiné certaines politiques existantes élaborées pour SOC 2. En mars 2024, l’équipe a fait appel à la société de sécurité du cloud Rhymetec pour un audit interne qui a aidé à déterminer le travail encore nécessaire.

Plus tard, BARR Advisory a fourni l’audit indépendant vérifiant l’éligibilité de Kinsta aux certifications ISO.

« Nos auditeurs nous ont toujours félicités pour notre organisation et notre préparation », a déclaré M. Van Dijk.

Les avantages de la certification ISO 27001

La certification ISO 27001 de Kinsta (et la conformité SOC 2) souligne notre engagement en matière de sécurité de l’information. Nous continuerons à gagner la confiance de nos clients en nous soumettant à des audits réguliers pour confirmer la conformité et l’efficacité de notre SMSI et maintenir notre statut de certification.

De nombreux clients potentiels nous disent que leur fournisseur d’hébergement doit être certifié ISO 27001. Nous sommes fiers de pouvoir répondre à ce besoin et nous leur souhaitons la bienvenue chez Kinsta.

Nos certifications ISO montrent que nous avons la posture de sécurité nécessaire pour protéger les actifs des clients et atténuer les risques en utilisant les meilleures pratiques.

Résumé

Kinsta a une longue tradition de protection des données de ses clients. Les nouvelles certifications ISO confirment et développent les garanties validées par notre travail de mise en conformité avec la norme SOC 2.

Nous nous engageons à protéger les sites web de nos clients. Nos procédures de sécurité de l’information certifiées ISO reflètent notre investissement pour gagner la confiance de nos clients.

Visitez le Trust Center de Kinsta pour obtenir des informations sur les efforts continus de l’entreprise en matière de conformité.

Vous n’êtes pas encore client ? Commencez du bon pied – en toute sécurité – en choisissant notre infrastructure sécurisée. Trouvez la meilleure solution d’hébergement web pour votre entreprise dès maintenant !

Steve Bonisteel Kinsta

Steve Bonisteel est un rédacteur technique chez Kinsta qui a commencé sa carrière d'écrivain en tant que journaliste de presse écrite, chassant les ambulances et les camions de pompiers. Il couvre les technologies similaires à l'Internet depuis la fin des années 1990.