Les 10 clés pour la sécurité de l'information : Le Système de Management Intégré, qu'est-ce que c'est ? 🔍

Cette neuvième clé met en lumière la passerelle qui relie la norme ISO/CEI 27001 à d'autres normes de systèmes de management, comme  ISO 9001 pour la qualité ou 14001 pour l'environnement. Elle positionne le SMSI non pas comme un ensemble d'exigences isolées, mais comme une partie intégrante d'un système de management global.

C'est ici qu'apparaît la notion de Système de Management Intégré (SMI). Si une organisation décide d'aller au-delà de la seule sécurité de l'informationet d'intégrer d'autres domaines comme la qualité, l'environnement ou la santé au travail, il met en place un SMI. Cette approche intégrée permet potentiellement des économies d'échelle, notamment lors des certifications multiples.

La Clé N°9 insiste sur les exigences d'un tel système de gestion. Un SMSI est défini comme une partie d'un système de management global, basée sur une approche du risque lié à l'activité. L'objectif est d'établir, mettre en œuvre, exploiter, surveiller, réexaminer, maintenir et améliorer la sécurité de l'information.

Pour construire ce système, plusieurs éléments clés sont requis, souvent formalisés dans un document central comme le Manuel de Management de la Sécurité dont vous trouverez le template général ci -dessous.

Plan type d'un Manuel de Management de la Sécurité

1. Déclaration de la direction

Engagement formel de la direction générale envers la sécurité de l'information

2. Contexte de l’organisme

• Présentation de l’entreprise
• Activités principales
• Marchés adressés
• Ressources clés
• Chiffres clés
• Organigramme
• Produits et services offerts
• Parties intéressées et attentes
• Périmètre d’application du SMSI

3. Gouvernance et organisation de la sécurité

• Références normatives et réglementaires
• Vocabulaire et définitions
• Structure de gouvernance du SMSI
• Rôles et responsabilités
• Comité de pilotage sécurité
• Gestion de la conformité

4. Politique de sécurité

• Objectifs de sécurité
• Principes de la politique
• Alignement avec les enjeux stratégiques
• Communication et diffusion de la politique

5. Système de Management de la Sécurité de l’Information

​

5.1 Établissement du SMSI

• Détermination du périmètre
• Analyse des besoins de sécurité
• Identification des actifs critiques

5.2 Mise en œuvre et fonctionnement

• Mise en œuvre des mesures de sécurité
• Plans de communication
• Intégration dans les processus métiers

5.3 Surveillance et réexamen

• Évaluation de l’efficacité
• Indicateurs de performance (KPI)
• Retour d’expérience

5.4 Amélioration continue

• Cycle PDCA (Plan-Do-Check-Act)
• Actions correctives et préventives

6. Gestion des risques

• Méthodologie d’analyse de risques
• Identification des menaces et vulnérabilités
• Évaluation des impacts
• Plan de traitement des risques
• Acceptation résiduelle du risque

7. Ressources et compétences

• Mise à disposition des ressources
• Recrutement et sécurité des RH
• Formation et sensibilisation
• Maintien des compétences
• Clause de confidentialité

8. Gestion opérationnelle de la sécurité

8.1 Gestion des actifs

• Inventaire des actifs
• Attribution des responsabilités
• Protection des actifs

8.2 Contrôle d’accès

• Gestion des identités et des droits
• Authentification et habilitations
• Principes du moindre privilège

8.3 Sécurité physique et environnementale

• Protection des locaux
• Contrôle des accès physiques
• Sécurité des équipements

8.4 Sécurité des opérations

• Procédures d’exploitation
• Journalisation et supervision
• Protection contre les logiciels malveillants
• Sauvegardes et restauration

8.5 Gestion des communications

• Sécurité des réseaux
• Chiffrement des échanges
• Protection des informations en transit

8.6 Relations avec les fournisseurs

• Contrats de sous-traitance
• Clauses de sécurité
• Évaluation des tiers

8.7 Gestion des incidents

• Procédure de gestion des incidents
• Détection et réponse
• Notification aux autorités (si applicable)
• Retour d’expérience et amélioration

8.8 Gestion de la continuité d’activité

• Analyse d’impact (BIA)
• Plans de continuité (PCA/PRA)
• Tests et exercices

8.9 Sécurité dans les projets

• Intégration de la sécurité dès la conception
• Gestion du changement
• Contrôle des développements

9. Surveillance, audit et amélioration continue

9.1 Audit interne du SMSI

• Objectifs et planification
• Méthodologie (ISO 19011)
• Suivi des non-conformités

9.2 Revue de direction

Éléments d’entrée :

• Résultats des audits internes
• Retours des parties intéressées
• Suivi des actions
• Évolution des menaces et vulnérabilités
• Résultats de performance
• Recommandations d’amélioration

Éléments de sortie :

• Amélioration du SMSI
• Mise à jour du plan de traitement des risques
• Planification de nouvelles ressources
• Révision des procédures

10. Documentation et enregistrements

• Maîtrise des documents
• Maîtrise des enregistrements
• Traçabilité des modifications
• Archivage et conservation

Annexes

• Glossaire
• Tableaux de correspondance ISO 27001 / procédures internes
• Modèles de documents types
• Liste des actifs critiques
• Registres (risques, incidents, habilitations, etc.)

En bref, la Clé N°9 nous enseigne que la sécurité de l'information via ISO 27001 est une démarche structurée, documentée et dynamique qui s'inscrit dans une logique de management global. C'est un système basé sur le risque, impliquant tous les niveaux de l'organisation et visant une résilience et une amélioration continues.

Ce positionnement systémique est ce qui distingue principalement cette clé de la simple liste d'exigences abordée dans la Clé N°4. Il ne s'agit plus seulement de ce qu'il faut faire (exigences), mais de comment le gérer de manière intégrée dans la durée (cohérence).

Ci-dessous j'ajoute également un extrait intéressant du livre de la vision qu'à Mr Pinet du RSSI !

Extrait du livre de Mr Claude Pinet : 

Fiche technique n° 24 : description de la fonction de monsieur Sécurité - risk manager

Le titulaire du poste doit démontrer son aptitude au regard des compétences suivantes :

• de l'expérience ;
• une bonne connaissance de l'organisme ;
• un esprit analytique ;
• des aptitudes à communiquer ;
• une expertise sur le domaine de la sécurité.

Les principales missions confiées à monsieur sécurité concernent les activités suivantes :

• identifier, analyser, évaluer les risques ;
• proposer des actions préventives et correctives ;
• vérifier le suivi et l'efficacité des actions ;
• s'assurer de la conservation des enregistrements ;
• communiquer sur les risques ;
• sensibiliser et former les acteurs à la problématique de gestion des risques.

La déclinaison opérationnelle de ces missions confiées à monsieur sécurité va se traduire en différentes tâches. 

Parmi les plus courantes, nous pouvons citer les tâches suivantes :

• définir, entretenir et tenir à jour le SMSI ;
• participer avec la direction à la définition des objectifs de sécurité ;
• entretenir le niveau de sensibilisation et de formation des acteurs ;
• être responsable de la tenue et de la gestion des indicateurs (tableau de bord des risques) ;
• communiquer sur la gestion des risques ;

• assurer la veille réglementaire et technique sur le thème des risques.

Nous avons maintenant une vision claire du système de gestion. La prochaine et dernière clé nous conduira logiquement vers la certification.

N'hésitez pas à laisser vos questions ou commentaires ci-dessous !