Pourquoi mettre en oeuvre un SMSI ?

Pourquoi mettre en œuvre un SMSI ?

Dès que l’on parle de système de management, les fantasmes ou les angoisses reviennent, et ceci est également vrai dans le domaine de la sécurité de l’information.

Certains pensent que c’est la solution pour que la sécurité des SI arrive à l’âge de raison en impliquant les métiers, en disposant d’une démarche cohérente et évidemment des budgets nécessaires pour mettre en oeuvre les mesures de sécurité.

D’autres voient une sécurité de façade, derrière de belles politiques et des processus qui sont pas ou mal appliqués.

Un intérêt pour le RSSI ?

Le premier intérêt est d’aligner l’existant en termes de sécurité par rapport aux enjeux des métiers :

  •  Participer à la mise en place d’une véritable gouvernance du SI incluant la sécurité
  •  Aligner les besoins de protection des actifs (en DIC) avec les enjeux métiers
  •  Responsabiliser les métiers et les autres acteurs de la DSI sur les aspects sécurité

Le deuxième domaine d’intérêt concerne le fait d’impliquer les métiers dans la gestion des risques qui pèsent sur le système d’information.

  • Renforcer l’engagement de la direction dans la conduite du plan de traitement de risques
  • Planification budgétaire cohérente avec les pratiques de gouvernance

Enfin, faire connaitre auprès de tiers, des clients et de ses partenaires sa gouvernance concernant la protection de son patrimoine et le respect des contraintes réglementaires; mais ce point est encore discutable, pourquoi ? Car le fait de mettre un oeuvre un SMSI (certifié ou non), n’apporte aucun assurance quant au réel niveau de maturité de sécurité.

Les liens avec les autres Système de Management

Il existe des «Systèmes de Management» dans de nombreux domaines, comme celui de la qualité (QMS : Quality Management System), de l’Environnement (EMS : Environmental Management System), …

Les “Systèmes de Management” sont utilisés dans les entreprises pour développer leurs politiques (qualité, environnement, …) et les mettre en application à travers des objectifs et des cibles en utilisation :

  • Une organisation dans l’entreprise
  • Des processus et des ressources associées
  • Des contrôles et une méthode d’évaluation
  • Des processus de révision pour garantir que les non conformité sont corrigées et que les axes d’amélioration sont analysés et mis en œuvre.

Certaines entreprises commencent à aborder la sécurité comme un système intégré appelé un SMSI : Système de Management de la Sécurité de l’information (en anglais ISMS : Information Security Management System).

Concrètement cela se traduit par la mise en oeuvre d’un vrai processus d’analyse, élaboration, contrôle et évolution d’une politique de sécurité. Ce concept est largement connu dans le domaine de la qualité avec le modèle PDCA (appelé la roue de Deming).

Un SMSI : la solution de management aux problèmes de sécurité

La mise en oeuvre d’un SMSI pourrait être une réponse à l’augmentation de la diffusion d’une culture sécurité autant que l’ISO 9000 a amélioré la culture de la qualité et de la satisfaction client.

Cela fait maintenant quinze ans que sont apparues les premières normes de certifications ISO 9000. Au début, nombre d’entreprises certifiées ne voyaient leur intérêt que dans l’obtention du certificat et la « notoriété » liée (avec un certificat souvent affiché dans le hall de l’entreprise).

Il a leur fallu du temps pour se rendre compte que c’était avant tout un outil d’amélioration tant sur l’efficacité interne que vis à vis de leurs relations clients.

On peut très schématiquement dire que la même chose se produit dans le domaine de la sécurité de l’information. La certification ISO 27001 est plus actuellement un argument marketing qu’un « outil » d’amélioration de la sécurité.

Les dangers de la certification ISO 27001

La certification ISO 27001 est assez simple à obtenir à ce jour. Il s’agit de faire croître le nombre de certificats afin que ce référentiel obtienne le même niveau de reconnaissance que les normes 9001, 14001 ..

Le risque est d’obtenir un certificat alors que l’entreprise ou l’organisme n’est pas mature pour faire fonctionner intelligemment ce SMSI. Alors on se retrouvera dans les affres de ceux qui ont vécu les premières certifications ISO 9000 il y a 15 ans :

  • des documents du SMSI qui sont remis à jours 15 jours avant chaque audit
  • des enregistrements opérationnels créés de toute pièce
  • des séances de formation accélérées pour savoir ce qu’il faut répondre à l’auditeur …
  • Et évidemment le risque de se voir retirer sa certification
    COPYRIGHT YSOSECURE © 2002 - 2021