Largement exploité à travers le monde, le Système de Management de la Sécurité de l’Information (SMSI) a été normalisé il y a officiellement 4 ans (la norme ISO/IEC 27001, publiée en octobre 2005 est d’ailleurs désormais complétée d’autres normes y compris sectorielles : la série 27000).
En France, la situation est singulière. Le nombre des certifiés peine à atteindre les 5% de ceux dénombrés aux Japon (source : http://www.iso27001certificates.com/, Japon : 3378, France : 12 publiés). Pourtant, de très nombreuses sociétés témoignent publiquement de l’apport réel d’un SMSI au sein de leur entreprise sans forcément avoir un objectif de certification.
Quels sont les principaux avantages apportés par le SMSI ?
Plus que jamais les entreprises sont assujetties à des contraintes internes (réorganisation, fusion, …) et externes (règlementations, compétitivité, …) et à une conjoncture limitant leur visibilité. Pour rester efficace, rationaliser les investissements et les charges de contrôles, la sécurité de l’information a besoin d’une gouvernance dynamique pour intégrer ces évolutions.
Un SMSI, adapté à l’entreprise dans lequel il est mis en œuvre, devient le véhicule légitime. Il pérennise les actions de sécurité par la transversalité des processus et des ressources en support et par l’alignement avec la stratégie de l’entreprise relative au pilotage du risque.
Certaines entreprises, du SRD notamment, ont une organisation éprouvée mais n’ont pas encore mis en place de SMSI. Passer ce cap (sans forcément cibler la certification), leur permettrait :
- l’alignement de la sécurité avec la stratégie d’entreprise ;
- un traitement systématique du risque ;
- l’amélioration et la maîtrise des coûts liés à la sécurité.
De nombreux témoignages plurisectoriels démontrent :
- l’avantage concurrentiel que procure le SMSI pour le métier de certaines entreprises (ex. les loteries pour le marché de l’Euromillion);
- la capacité du SMSI à aligner la sécurité de l’information à la stratégie de l’entreprise au travers de la gestion des risques (ex. Areva sur sa démarche Groupe);
- l’aide que représente le SMSI pour faciliter les démarches de mise en conformité réglementaires (SOX, PCI-DSS, Bäle II, …) (ex. Société Générale sur l’auto-évaluation des risques dans le cadre de Bäle II) ;
- les réductions des primes d’assurance et des coûts d’audit mesurées après une durée suffisante de mise en œuvre du SMSI (ex : Gémalto l’une des premières entreprises certifiée en France);
- la rationalisation des moyens mis en œuvre pour assurer la sécurité de l’information dans l’entreprise et la mesure de leur efficacité (ex. Orange sur la mise en conformité SOX).
Quelles sont les clés de réussite d’un SMSI ?
Le premier facteur pour réaliser avec succès un SMSI est d’évaluer le niveau de maturité de son organisation. Une trajectoire réaliste peut alors être établie sur la base des axes de progrès identifiés.
Ensuite, réussir son SMSI signifie se l’approprier. Faire siens ses principes et les adapter concrètement à son organisation. Un des leviers principaux de cette appropriation est la projection dans le temps des actions entreprises. Cette anticipation (base de l’amélioration continue), associée aux revues et aux audits réguliers, conduit à prendre des décisions pragmatiques et plus efficaces.
Pour ce faire, un SMSI peut se résumer à la maîtrise de 7 processus dont les orientations sont contrôlées par la revue managériale et le contrôle interne :
- la gouvernance du SMSI,
- l’analyse du risque,
- le traitement du risque,
- le contrôle de l’efficacité,
- la gestion des incidents,
- la gestion de la preuve,
- la formation et la sensibilisation.
Ces processus sont transverses. Ils mobilisent l’ensemble des ressources humaines constituant le SMSI. Le pilotage par le risque associé, pilier central du SMSI, traduit concrètement, dans les actions sécurité, les décisions prises au plus au niveau sur la gestion du risque pour l’entreprise. Le SMSI et la stratégie d’entreprise en matière de sécurité de l’information sont alignés.
Le SMSI n’échappe pas à la règle. Pour pouvoir tirer tous les profits d’un système de management, il est nécessaire de bénéficier d’un véritable apport d’expériences sur l’ensemble des processus qui le constitue. L’accompagnement par un cabinet de conseil comme Devoteam, qui possède plus de 20 ans d’expériences sur ces processus, permet de converger plus rapidement vers un SMSI adapté à son organisation.
Publié le 12 Février 2010 – Le Monde Informatique
(9 votes)
Loading ...