Implémenter un SMSI (Système de Management de la Sécurité de l’Information) conformément à la norme ISO 27001

SMSI ISO 27001

Les risques liés à la sécurité de l’information ne cessent d’augmenter et peser sur les organisations avec l’avancée spectaculaire des technologies de l’information, les vulnérabilités sont de plus en plus présentes sur nos systèmes, et on est dans l’obligation de faire face à cette situation et d’essayer de réduire au maximum ces risques.

Il ne suffit pas de mettre en place des mesures de sécurité et contrôles techniques pour dire qu’on a sécurisé notre système d’information , car la sécurité est un enjeu qui touche à l’organisation , aux bâtiments , aux ressources humaines , à la technologie , aux documents , à la communication , etc. C’est pour cette raison qu’il convient de mettre en place un Système de Management de la Sécurité de l’Information (SMSI).

Essayons alors d’expliciter le fonctionnement d’un SMSI et apprendre comment le mettre en place au sein d’une organisation.

Le norme ISO 27001 dicte un ensemble d’exigences pour implémenter un SMSI, avec son fameux Annexe A qui contient 114 mesures de sécurité à mettre en place.

L’ISO 27002 par contre spécifie un ensemble de bonnes pratiques pour les mesures de sécurité. attention à ne pas la confondre avec l’ISO 27001 qui est formée d’exigences et contre laquelle on peut certifier des organismes!

N.B. Il n’y a aucune certification d’organismes ISO 27002, il s’agit du code des bonnes pratiques; les organismes par contre, peuvent être certifiés ISO 27001.

Afin que votre organisme soit certifié ISO 27001 il doit se conformer aux articles 4 à 10 de la norme.

Contexte , Leadership et engagement de la direction:

Le Lead Implementer devrait avant tout, s’assurer d’avoir l’engagement de la direction et son appui pour la mise en place du SMSI, sans cet appui, le projet ne pourrait aboutir, et dans la plupart des cas, voué à l’échec.

La direction est tenue également de communiquer sur l’importance du SMSI et de la gestion des risques liés à la sécurité de l’information, et également de fournir les ressources nécessaires au SMSI.

Bien comprendre l’organisme et son contexte est une étape primordiale, elle permet entre autres de justifier le besoin de mettre en place un SMSI et déterminer les besoins et les attentes des parties intéressées (exigences légales, réglementaires, contractuelles …)

Activités de support:

Afin de réussir l’implémentation d’un SMSI , l’organisation doit fournir les ressources et les compétences nécessaires afin de l’implémenter et de le maintenir.

Vu que l’être humain est le maillon faible dans la sécurisation des SI, il est indispensable d’organiser des campagnes de sensibilisation au profit du personnel sur la politique de sécurité de l’information, les enjeux de la sécurité dans l’organisation, les exigences en terme de sécurité ainsi que leurs rôles dans le SMSI.

Des dispositifs de communication avec les parties intéressées internes et externes doivent être mis en place également.

Et afin de faciliter le suivi, la surveillance et l’audit du système, les informations liées au SMSI doivent être documentées suivant un processus dans lequel la gestion du cycle de vie des documents devrait être définie (création, modification, approbation, suppression …). Une bonne base documentaire permettra de démontrer l’efficacité du SMSI.

Politique de sécurité de l’information :

La politique de sécurité de l’information est un élément essentiel d’un SMSI, c’est un document approuvé par la direction qui définit les objectifs de sécurité, les rôles et responsabilités liés à la sécurité de l’information, et potentiellement des exigences globales de sécurité à implémenter.

Il n’y a pas de modèle spécifique à adopter pour établir une politique de sécurité, même son contenu et son périmètre varient d’une organisation à l’autre. on la reconnaît sous différentes appellations (PSSI, PGSSI, politique de sécurité, politique de sécurité du système d’information …)

La politique de sécurité devrait alors être révisée, ou produite si elle n’existe pas, afin de bien cerner les objectifs de sécurité à atteindre en vue de se conformer à l’ISO 27001.

Appréciation et traitement des risques:

Afin de se conformer à l’ISO 27001, les organisations doivent mettre en place un processus de gestion des risques de sécurité de l’information, et réaliser des appréciations des risques de sécurité périodiquement,mais aussi dans le cas d’un changement significatif.

Les risques identifiés doivent être traités en temps opportun en mettant en place des plans de traitement des risques. Les résultats des traitements des risques doivent être documentés et conservés.

ISO 27005 constitue un très bon référentiel pour mettre en place un processus de gestion des risques de sécurité de l’information.

Surveillance, revue et amélioration continue du SMSI:

Mettre en place les processus d’un SMSI ne permet pas de garantir son efficacité avec le temps, c’est pourquoi, une surveillance et revue périodiques du SMSI sont primordiales.

La revue permet de mesurer et surveiller l’efficacité du SMSI en prenant en compte les feedbacks des parties intéressées, les incidents, les évènements détectés et l’évolution des différents risques auxquels l’organisme fait face.

les mesures de sécurité doivent être contrôlables et mesurables, et les plans de sécurité doivent être mis à jour quand c’est nécessaire.

Un très bon moyen d’assurer un SMSI efficace est de planifier des audits internes périodiquement durant lesquels on pourrait détecter des incohérences et/ou des non-conformités qu’il convient d’y remédier. un plan de traitement de ces non-conformités doit être mis en place afin d’assurer une amélioration continue du SMSI.

L’annexe A:

Cet annexe est absolument le cœur de la norme ISO 27001 , puisqu’il contient les 114 mesures de sécurité à implémenter, ainsi que les 35 objectifs à atteindre.

L’annexe A est aussi d’une grande utilité pour l’auditeur qui va évaluer la conformité de l’organisme à la norme ISO 27001.

Leave a Reply

Your email address will not be published. Required fields are marked *