Le choix du périmètre d’un SMSI

Le périmètre du SMSI

La question du périmètre d’un SMSI est importante quant à l’ampleur de la tâche. Elle se pose dès la première étape d’analyse des risques : quel est le périmètre à analyser en termes d’enjeux, donc de processus métiers, de faiblesses ?

Certaines entreprises ont défini un périmètre si large, que les évolutions permanentes de l’activité ne leur permette jamais de construire le socle du SMSI, c’est à dire l’activité de gestion des risques.

Le retour d’expérience des entreprises qui ont mis en œuvre un SMSI, nous confirme :

  • qu’il faut définir un périmètre initial suffisamment significatif pour la Direction Générale s’implique
  • qu’il est très difficile, en dehors du contexte d’une PME PMI, de définir que le périmètre couvre l’ensemble des activités (un grand opérateur téléphonique s’en souvient )

Cette question de périmètre devient encore plus complexe lorsque l’on souhaite aller vers la certification, car il s’agit alors de préciser à l’organisme de certification le périmètre couvert, celui qui ne l’est pas et les interfaces entre ces 2 mondes.

 

 

Les bonnes et mauvaises pratiques

Il existe un risque d’échec évident, de vouloir tout couvrir au travers d’un SMSI et tout de suite. Particulièrement pour les entreprises peu matures sur les sujets liés à l’organisation du contrôle interne, de l’implication du management dans le pilotage des risques.

Une bonne approche semble partir des enjeux : là où les enjeux sont les plus forts pour l’entreprise (et qu’ils sont démontrables), la démarche SMSI sera la plus acceptée car explicable via l’analyse des risques.

Une autre approche est possible : « Commençons par améliorer ce que nous savons faire, mais pas encore assez bien. Ensuite nous innoverons. Mais pas l’inverse » disait William Edwards Deming. Cette approche aura la vertu de l’exemple.

COPYRIGHT YSOSECURE © 2002 - 2021