https://wordpress.org/

Comment implémenter un SMSI – ISO 27001 ?

Publié le 17/11/2016
Partager sur :

Les enjeux de la norme ISO 27001

La vie d’un système d’information est par essence vulnérable et exposée à des menaces. La question de la certification de son Système de Management de la Sécurité de l’Information (SMSI), sur les standards d’une norme de sécurité peut donc se poser… Il est nécessaire de bien distinguer la différence entre la mise en place d’un SMSI et sa certification (notamment à l’ISO 27001).

Le SMSI est un outil d’amélioration continue de la sécurité de l’information. Son but est de garantir la bonne maitrise des risques majeurs d’un organisme afin de gagner ou maintenir la confiance des clients et des partenaires.

La norme ISO 2700X apparaît comme le cadre le plus pertinent pour ce faire, elle recouvre la notion de SMSI et un panel de bonnes pratiques de sécurité reconnues (ISO 27002).

Il faut souligner que si la mise en conformité d’un SMSI à la norme ISO 27001 assure un bon niveau de sécurité à un instant T, ne pas le certifier peut constituer des lacunes dans son maintien, son suivi et son amélioration continue. En effet, l’organisme se trouve dans ce cas autonome et la bonne vie du SMSI repose sur sa seule bonne volonté et son sérieux.

Les étapes de la mise en place d’un SMSI conforme à la norme ISO 27001

Une entreprise faisant le choix de la mise en conformité à la norme ISO 27001 de son SMSI devra respecter un certain nombre d’étapes. HeadMind Partners préconise une démarche en huit étapes.

1. Etude d’opportunité

Réaliser un état des lieux des mécanismes de sécurité, identifier les parties intéressées du SMSI et leurs enjeux, afin de réaliser une étude d’opportunité de la mise en conformité. Ces éléments sont à valider obligatoirement par la Direction Générale.

2. Choix du périmètre du SMSI

Définir le périmètre, autrement dit les activités sur lesquelles s’appliquent le SMSI, et justifier le cas échéant les domaines exclus de ce périmètre.

3. Déclaration d’intention

Une fois le périmètre choisi, définir la stratégie de la sécurité de l’information afin d’impulser le projet de mise en conformité. Cette déclaration d’intention se formalise par la Politique de sécurité rédigée et signée par la Direction Générale.

4. Démarche d’analyse de risques

L’entreprise doit identifier les risques sur son périmètre. Pour ce faire, il est nécessaire de choisir une méthode d’évaluation des risques, adaptée au contexte et aux enjeux de l’entreprise.

5. Objectifs de sécurité

Le plan de traitement des risques doit orienter les objectifs de sécurité que souhaite atteindre l’entreprise. En effet, en fonction des risques identifiés, les mesures de sécurité peuvent varier.

Il est dès lors primordial d’organiser des réunions de suivi du projet afin d’optimiser la mise en place de ces mesures d’une part, et de garder la direction impliquée d’autre part.

6. Exploitation du SMSI

L’ensemble des mesures et processus de sécurité doivent vivre selon le modèle de la roue de Deming : Plan, Do, Check, Act.

Implémenter SMSI - Plan Do Check Act
Roue de Deming : Plan, Do, Check, Act

Ce modèle permet de les optimiser tout au long de leur cycle de vie. La mise en place du PDCA doit se faire dès leurs définitions.

7. Surveillance du SMSI

Le SMSI constitue alors un ensemble complexe vivant dont il faut mesurer la « santé », et lorsqu’il est nécessaire, le « soigner ». Ceci doit se traduire de manière pratique par :

  • Un audit interne ;
  • L’application des éventuelles actions correctives des non-conformités détectées ;
  • Une revue de direction afin de consolider les évènements passés et dessiner les directions actuelles et futures pour son SMSI ;
  • Un audit blanc si l’audit de certification est prévu dans le planning.

8. Certification (étape optionnelle)

Un SMSI répondant à toutes les exigences de la norme ISO 27001, peut se soumettre à l’examen de la certification. Il faut pour cela prendre contact avec un organisme de certification, qui se chargera de faire passer l’audit.

Découvrez nos autres articles d'accompagnement sur l'implémentation de normes : les bonnes pratiques pour implémenter le NIST Cybersecurity Framework 1.1.

Co-écrit par Guillaume.

Veuillez saisir votre adresse email pour vous abonner. Envoyer