<
Mon Logo

Services de Consulting IT

Diagnostic - Audit - Conseil
Formation - Coaching
Information Security Management System

Gouvernance IT

Page précèdente


Qu'est ce qu'un Système de Management de la Sécurité de l'Information?

FMF
Publié le 05/06/2024
Temps de lecture: 14 mins.

TABLE DES MATIÈRES

INTRODUCTION

I. CONCEPTS DE BASE DE LA SECURITE DE L'INFORMATION

II. DEFINITION D'UN SMSI

III. ISO ET LES NORMES DE SECURITE DE L'INFORMATION ISO/IEC 2700X

IV. PRESENTATION DES NORMES ISO 27001 et 27002

V. AVANTAGES D'UN SMSI

VI.ENJEUX D'UN SMSI

VII. BONNES PRATIQUES EN MATIERE DE SMSI

VIII. DEPLOIEMENT D'UN SMSI

CONCLUSION

Introduction

L'information est considérée au jour d'aujourd'hui, à l'ére du tout digital, comme une ressource et/ou un actif très stratégique pour toutes les organisations, indépendemment de leur taille et/ou de leur activité, à tel point que sa valeur ne saurait être quantifiée de manière précise. Ce caratère stratégique de l'information attise la convoitise de bon nombre de gens, allant de la concurrence dans un monde de commerce globalisé, aux cyber-criminels attirés par l'appat du gain facile, jusqu'aux gouvernements qui se livrent entre eux des cyber-guerres politiques en remplacement des guerres froides.

D'où la forte nécessité de protéger le plus sérieusement possible ses actifs informationnels. Pour cela, il est d'abord opportun d'apprendre à connaître ses actifs informationnels, en les identifiant et en les classifiant en fonction de leurs niveaux de sensibilité et, de la manière dont ils seront partagés. C'est dans ce cadre que les normes ISO/IEC 2700X, viennent à point nommé, pour apporter des orientations et des recommandations, sous forme de bonnes pratiques, à l'effet d'aider les organisations à élaborer des stratégies de sécurisation de leurs actifs informationels.

A noter que le présent article s'appuie sur les recommendations contenues dans les normes ISO/IEC 27005:2008, 27001:2013 & 27002:2013.


I. Concepts de base de la sécurité de l'information

La sécurité de l'information est basée sur la préservation de trois propriétés importantes et/ou de la triade CID, à savoir:

  1. La Confidentialité qui veut dire que seules les personnes, entités et/ou processus autorisés ont accès à l'information,

  2. L'Intégrité qui veut que l'exactitude et l'entiereté de l'information ne doivent être en aucun cas être altérées par un quelconque mécanisme non autorisé, initié par des personnes, entités et/ou processus,

  3. La Disponibilité veut dire que l'information doit être accessible et utilisable à tous moments, par les personnes, entités et/ou processus autorisés.


II. Définition d'un SMSI

SMSI
Un système de management de la sécurité de l'information (SMSI) est un ensemble de politiques et de procédures permettant à une organisation de gérer systématiquement ses données sensibles. L'objectif visé à travers un SMSI est de minimiser les risques et d'assurer une continuité de service en limitant de manière proactive l'impact d'éventuelles violations de la sécurité.

En fait, un SMSI s'intéresse généralement au comportement du personnel et des processus métiers, ainsi qu'aux données et à toute la technologie de l'information. Il peut être appliqué pour un type spécifique de données, comme par exemple les données des clients, ou être mis en œuvre en l'intégrant à la stratégie globale de sécurité d'une organisation.


III. ISO et les normes de sécurité de l'information ISO/IEC 2700X

ISO (International Standards Organization) et/ou Organisation Internationale de Normalisation est une entitée non gouvernementale, qui a pour mission la promotion au niveau mondial, de normes dans les domaines industriels et commerciaux. ISO a des représentations au niveau de presque chaque pays dans le monde. Elle comptait jusqu'en 2013 environ 164 pays membres. Un conseil articulé autour d'adhérents à statut rotatif, assure l'orientation et la gouvernance ainsi que la définition et la gestion du budget.

La gestion technique est assurée par un directoire qui a sous sa responsabilité plus de 250 comités chargés de l'élaboration des normes ISO. Ces derniers sont connus sous l'appellation de JTC (Joint Technical Committee) et/ou Comités Techniques Communs. Le siège de l'ISO se trouve à Genève, en Suisse.

Le représentant de l'ISO en Algérie est l'Institut Algérien de Normalisation (IANOR) dont le siège est sis au 07 Rue Abou Hamou Moussa – Alger.

Lien pour visiter son site web: Page d'accueil

3.1. Comité chargé des normes ISO/IEC 2700X

Le comité technique chargé de l'élaboration des normes sur les technologies de l'information, est un comité mixte regroupant des membres d'ISO et de IEC, dénommé JTC1 – sous-comité SC27 auquel incombe la sécurité de l'information dont, entre autres les normes ISO 2700X.

3.2. Famille des normes de sécurité de l'information - ISO/IEC 27000X

La famille des normes se rapportant à un SMSI comprend les normes de sécurité de l'information publiées conjointement par l'ISO et la Commission électrotechnique internationale IEC. Cette suite fournit des recommandations des meilleures pratiques en management de la sécurité de l'information, pour l'élaboration, l'implémentation et le maintien de systèmes de management de la sécurité de l'information (SMSI). Les plus utilisées sont:

  1. ISO/CEI 27000: Introduction et vue globale de la famille des normes relatives au Système de Management de la Sécurité de l'Information (SMSI), ainsi qu'un glossaire des termes communs (2018).

  2. ISO/CEI 27001: Norme d'exigences des SMSI, permettant la certification (publiée en 2005, révisée en 2022).

  3. ISO/CEI 27002: Guide des bonnes pratiques en SMSI (précédemment connu sous le nom de ISO/CEI 17799, et avant BS 7799 Partie 1 (renuméroté en ISO/CEI 27002:2005 en juillet 2007, dernière révision en 2022).

  4. ISO/CEI 27003: Guide d'implémentation d'un SMSI, publié le 3 février 2010 révisée en 2017 (Lignes directrices pour la mise en œuvre du système de management de la sécurité de l'information).

  5. ISO/CEI 27004: Norme de mesures de management de la sécurité de l'information (publiée le 12 juillet 2009, révisée en 2016).

  6. ISO/CEI 27005: Norme de gestion de risques liés à la sécurité de l'information (publiée le 4 juin 2008, révisée en 2022).

  7. ISO/CEI 27006: Guide de processus de certification et d'enregistrement (publié le 1er décembre 2011, révisée en 2020).

  8. ISO/CEI 27007: Guide directeur pour l'audit des SMSI (publié le 14 novembre 2011, révisée en 2017).

  9. ISO/CEI 27014: Gouvernance de la sécurité de l’information (2013).

  10. Etc: ...


3.3. Termes et Définitions communs à toutes les normes ISO/IEC 27000X

Les normes: ISO/IEC 27000 - toutes versions et ISO/IEC 27002 - Versions:2005, 2013 & 2022 founissant un lexique des termes et définitions qui s'appliquent dans le cadre d'un SMSI.

De plus, ISO and IEC maintiennent des bases de données terminologiques pour une utilisation dans le cadre de la normalisation. On peut trouver ces dernières à travers les URL(s) suivantes:

  1. ISO Online platform

  2. IEC Electropedia


IV. Présentation des normes ISO/IEC 27001 & 27002:2013

Les normes ISO/IEC 27001 et 27002:2013 contituent la deuxième version et viennent remplacer, neuf années après, la première version qui datait de 2005. Elles servent de guide référentiel pour concevoir un système de management de la sécurité de l'information et/ou une politique de sécurité à l'effet, de préserver la confidentialité, l'intégrité et la disponibilité de l'information au sein d'un système d'information, en prenant en considération les besoins en sécurité et en se conformant à la législation en vigueur.

4.1. Objectifs de la norme ISO/IEC 27001:2013

La norme ISO/IEC 27001:2013 permet de réaliser les actions suivantes:

  1. D'établir un SMSI,

  2. D'auditer un SMSI et,

  3. De faire certifier un SMSI.


4.2. Portée de la norme ISO/IEC 27001:2013

La norme ISO/IEC 27001 s'articule autour de dix (10) sections, mais six (06) seulement sont dédiées à l'établissement et au management d'un SMSI, auxquelles viennent s'ajouter trois (3) annexes dont le but est de renforcer la démarche préconisée.

A noter que l'annexe A qui est normative est issue de la norme ISO/IEC 27002 et, contient les objectifs et mesures de sécurité, qui permettent d'affiner la politique de sécurité de l'information envisagée.


4.3. Objectifs de la norme ISO/IEC 27002:2013

La norme ISO/IEC 27002:2013 permet de réaliser les actions suivantes:

  1. D'établir une politique de sécurité de l'information,

  2. D'auditer une politique de sécurité de l'information,

  3. D'être utilisée comme guide de bonnes pratiques, pour réaliser des plans tactiques de sécurité de l'information,

  4. D'être utilisée pour élaborer une déclaration d'applicabilité (DdA) dans le cadre d'un SMSI.


4.4. Portée de la norme ISO/IEC 27002:2013

La norme ISO/IEC 27002:2013 qui s'articule autour de quinze (15) sections dont dix (10) seulement réservées aux contrôle d'objectifs de contrôle au nombre de cent quatorze (114), établit des lignes directrices et des principes généraux, pouvant être mis à contribution pour planifier, mettre en oeuvre, surveiller et améliorer la gestion d'une politique générale de la sécurité de l'information au sein d'un organisme.

Elle sert donc de guide référentiel pour élaborer des politiques de sécurité et implémenter des pratiques efficaces de la gestion de la sécurité de l'information.


V. Avantages d'un SMSI

Un Système de management de la sécurité de l'information offre moult avantages dont, entre autres:

  1. Amélioration de la sécurité de l'information: Un SMSI aide les organisations à identifier les vulnérabilités et les risques, ce qui leur permet de mettre en œuvre des mesures de sécurité proactives et de réduire la probabilité d'incidents de sécurité.

  2. Conformité à la règlementation: De nombreux secteurs d'activité sont soumis à des exigences réglementaires et à des pénalités de conformité, comme par exemple le RGPD (loi algérienne N° 18-07 du 10/06/2018), NORME ISO 27001, etc). Et, arriver à atteindre les objectifs de maintenir la conformité peut être un défi important et coûteus pour les organisations.

  3. Gestion des risques: Un SMSI permet aux organisations d'évaluer et de gérer les risques de manière efficace, ce qui les aide à prendre des décisions éclairées en matière d'investissements dans la sécurité.

  4. Renforcement de la confiance des clients et parties tierces: Les clients et les parties tierces (fournisseurs, partenaires, etc) seront plus enclins à faire confiance aux organisations qui accordent la priorité à la sécurité.

  5. Réduction des incidents: En mettant en œuvre les meilleures pratiques de sécurité, les organisations peuvent minimiser le nombre et l'impact des incidents de sécurité, tels que les violations de données ou les temps d'arrêt des systèmes.

  6. Réduction des coûts: Si la mise en œuvre initiale peut être coûteuse, un SMSI peut entraîner des économies à long terme en réduisant la fréquence et la gravité des atteintes à la sécurité.

  7. Amélioration de la réputation: Un bon dispositif de sécurité de l'information peut améliorer la réputation d'une organisation et susciter la confiance des clients, des partenaires et des parties prenantes.

  8. Continuité de service: Des mesures de sécurité efficaces et des plans d'intervention en cas d'incident inclus dans un SMSI peuvent contribuer à assurer la continuité des activités en cas d'incident de sécurité ou de catastrophe.

  9. Avantage compétitif: Les organisations dotées de solides pratiques en matière de sécurité de l'information peuvent acquérir un avantage concurrentiel en démontrant leur engagement à protéger les données et les informations sensibles.

  10. Amélioration continue: Un SMSI favorise une culture d'amélioration continue en réexaminant et en actualisant régulièrement les mesures de sécurité en fonction de l'évolution des menaces et des besoins de l'organisation.


VI. Enjeux d'un SMSI

Un SMSI comporte à la fois des avantages mais aussi des enjeux auxquels il faut absolument faire face avant de pouvoir prétendre élaborer et déployer un tel processus. Les principaux enjeux se déclinenet comme suit:

  1. Contraintes budgetaires: La mise en place et la maintenance d'un SMSI nécessitent des ressources importantes en termes de personnel qualifié, de technologies et d'investissements financiers. Cela, constitue un handicap pour les organisations qui ne disposent de moyens financiers suffisants pour allouer les ressources humaines et matérielles qu'il faut.

  2. Complexité du projet: La mise en œuvre d'un projet de SMSI peut s'avérer assez complexe en raison de la nécessité d'aborder divers aspects de la sécurité de l'information, notamment la sécurité physique, la sécurité des réseaux, la sécurité des données et la conformité à de multiples réglementations.

  3. Evolution des menaces: Le paysage des menaces est en constante évolution avec l'apparition régulière de nouvelles cybermenaces et de nouvelles vulnérabilités. Suivre ces changements et adapter les mesures de sécurité en conséquence constitue généralement un défi de taille.

  4. Sensibilisation et formation du personnel: Il est essentiel de s'assurer que l'ensemble du personnel soit au fait et respecte les politiques et les pratiques de sécurité de l'information. Et pour cela, des programmes de formation et de sensibilisation de tous les salariés nécessitera de déployer des efforts colossaux et des ressources assez importantes.

  5. Conformité règlementaire: De nombreux secteurs d'activité sont soumis à des exigences réglementaires et à des mandats de conformité (par exemple, RGPD, ISO 27001, etc). Atteindre et maintenir la conformité peut être un défi important pour les organisations.

  6. Risques liés à des tiers: Les organisations font souvent appel à des fournisseurs et partenaires tiers. Assurer la sécurité des données et des systèmes lorsqu'elles travaillent avec des entités externes peut s'avérer difficile.

  7. Résistance au changement: Les salariés peuvent s'opposer aux changements apportés à leurs routines quotidiennes ou à leurs processus de travail, ce qui peut freiner et voire même entraver la mise en œuvre de nouvelles mesures de sécurité.


VII. Bonnes pratiques en matière de SMSI

La mise en œuvre d'un système de management de la sécurité de l'information (SMSI) est une étape fondamentale et incontournable si une organisation veut protéger ses actifs informationnels sensibles et ainsi, garantir leur confidentialité, intégrité et disponibilité. Seulement, il est indispensable de noter que que la mise en œuvre d'un SMSI est un processus continu. Des révisions, des évaluations et des mises à jour régulières sont essentielles pour s'adapter à l'évolution constante du paysage de la sécurité. Voici quelques bonnes pratiques à respecter scrupuleusement pour réussir un tel projet:

  1. Soutien de la direction et leadership: Un engagement et un soutien forts de la part de la direction générale, ainsi que la désignation d'un responsable de la sécurité de l'information et de personnes qualifiées chargées de superviser le SMSI, sont des actions indispensables pour la réussite et le maintien en bon état de fonctionnement de ce système de protection.

  2. Définition du périmètre: Il faut délimiter clairement le champ d'application du SMSI projeté, en précisant quelles informations seront protégées et le balisage de ce système.

  3. Évaluation des risques: Identifier et évaluer les risques liés à la sécurité de l'information afin de comprendre les menaces et les vulnérabilités potentielles. Classer les risques par ordre de priorité en fonction de leur impact et de leur probabilité.

  4. Politiques et procédures: Élaborer des politiques, des normes et des procédures en matière de sécurité de l'information sur la base des risques identifiés et des exigences de conformité. Veiller à ce que les politiques soient communiquées à tous les employés et parties prenantes concernés.

  5. Contrôle d'accès: Mettre en œuvre des contrôles d'accès rigoureux, y compris des mécanismes d'authentification et d'autorisation des utilisateurs. Suivre le principe du moindre privilège, en n'accordant l'accès qu'à ce qui est nécessaire à l'exercice des fonctions.

  6. Formation et sensibilisation: Proposer régulièrement des programmes de formation et de sensibilisation afin d'informer les employés sur les politiques et les meilleures pratiques en matière de sécurité. Favoriser une culture organisationnelle soucieuse de la sécurité.

  7. Réponse aux incidents et gestion des incidents: Élaborer un plan d'intervention en cas d'incident afin de remédier rapidement aux violations de la sécurité et aux autres incidents. Tester et mettre à jour ce plan régulièrement.

  8. Surveillance et audit: Mettre en œuvre une surveillance continue des contrôles et des systèmes de sécurité. Effectuer régulièrement des audits et des évaluations de la sécurité afin de garantir la conformité.

  9. Documentation et archivage: Tenir des registres complets des activités de sécurité, y compris les évaluations des risques, les incidents et les changements. Documenter les politiques et les procédures pour référence.

  10. Gestion des fournisseurs et des tiers: Évaluer les pratiques de sécurité des vendeurs et fournisseurs tiers. Veillez à ce qu'ils respectent vos normes de sécurité et vos obligations contractuelles.

  11. Sensibilisation et formation à la sécurité: Fournir une formation continue de sensibilisation à la sécurité à tous les salariés, sous-traitants et tiers qui accèdent à vos systèmes.

  12. Amélioration continue: Examinerz et améliorer en permanence un SMSI sur la base des enseignements tirés des incidents et des audits. Se tenir au courant des menaces et des technologies émergentes.

  13. Conformité et certification: Envisager le cas échèant d'obtenir la certification ISO 27001 pour démontrer la conformité aux normes internationales. Évaluer et rendre compte régulièrement de la conformité aux réglementations pertinentes (par exemple, RGPD (Loi 18-07 du 10/06/2018, etc).

  14. Mesures de sécurité et indicateurs clés de performance (ICP): Définir et suivre les mesures de sécurité et les indicateurs clés de performance pour mesurer l'efficacité du SMSI. Utiliser aussi ces mesures pour identifier les domaines qui nécessitent une amélioration.

  15. Documentation et communication: Maintenir une documentation claire et accessible de toutes les activités du SMSI. Communiquer efficacement les politiques de sécurité et les mises à jour à toutes les parties prenantes.

  16. Sauvegarde et récupération: Mettre en œuvre de solides plans de sauvegarde et de reprise de service pour garantir la disponibilité des données en cas d'événements imprévus.

  17. Tests et simulations: Tester régulièrement les contrôles de sécurité et les plans de réponse aux incidents déjà en place au moyen de simulations et d'exercices réels.

  18. Évaluation des fournisseurs et de la technologie: Évaluer et mettre à jour en permanence la liste des technologies et des solutions de sécurité déjà en place, pour faire face à l'évolution des menaces.

  19. Gouvernance de la sécurité: Établir un cadre de gouvernance de la sécurité qui définit les rôles, les responsabilités et les structures chargées de l'élaboration des rapports.

  20. Retour d'information et d'amélioration: Encourager le retour d'information de la part des salarés et des parties prenantes afin d'identifier les problèmes de sécurité et les domaines à améliorer.


VIII. Déploiement d'un SMSI

L'établissement d'un SMSI comporte quatre (4) grandes étapes comportant chacune une multitude de tâches. Ces dernières se déclinent comme suit:

8.1. Étape 1: Établissement du SMSI

Cette étape se décompose en 10 tâches essentielles:

  1. Définition du domaine d'application et des limites du SMSI,

  2. Définition d'une politique de sécurité,

  3. Définition d'une approche d'appréciation des risques,

  4. Identification des risques,

  5. Analyse et évaluation des risques,

  6. Identification et évaluation des choix de traitement des risques,

  7. Sélection des objectifs de sécurité et des mesures de sécurité pour le traitement des risques (Voir Annexe A de la norme ISO/IEC 27001 et pour plus de détails consulter la norme ISO/IEC 27002),

  8. Obtention de l'approbation de la direction générale pour la gestion des risques résiduels,

  9. Obtention de l'autorisation de la direction générale pour la mise en oeuvre et l'exploitation du SMSI,

  10. Préparation d'une déclaration d'applicabilité (DdA).


8.2. Étape 2: Mise en oeuvre et fonctionnement

Cette étape se décompose en 8 tâches essentielles:

  1. Élaboration d'un plan de traitement du risque,

  2. Mise en oeuvre du plan de traitement du risque,

  3. Mise en oeuvre des mesures de sécurité sélectionnées,

  4. Définition d'une méthode d'évaluation de l'efficacité des mesures de sécurité sélectionnées,

  5. Mise en oeuvre de programmes de formation et sensibilisation,

  6. Gestion des opérations du SMSI,

  7. Gestion des ressources affectées au SMSI,

  8. Mise en oeuvre de procédures et autres mesures permettant de détecter et répondre rapidement aux incidents de sécurité.


8.3. Étape 3: Surveillance et réexamen du SMSI

Cette étape se décompose en 8 tâches essentielles:

  1. Exécution des procédures de surveillance et de réexamen, ainsi que d'autres mesures,

  2. Réalisation de réexamens réguliers pour tester l'efficacité du SMSI,

  3. Évaluation de l'efficacité des mesures afin de vérifier que les exigences de sécurité ont été satisfaites,

  4. Conduite d'audits internes à intervalles réguliers,

  5. Réalisation de revues de direction du SMSI de manière régulière,

  6. Mise à jour des plans de sécurité afin de tenir compte des résultats des activités de surveillance et de réexamen,

  7. Consignation des actions et des événements pouvant avoir un impact sur l'efficacité et les performances du SMSI,

  8. Conduite d'audits internes à intervalles réguliers.


8.4. Étape 4: Mise à jour et amélioration du SMSI

Cette étape se décompose en 4 tâches essentielles:

  1. Mise en oeuvre des améliorations identifiées du SMSI,

  2. Lancement des actions correctives et préventives appropriées,

  3. Communication des actions engagées en matière d'amélioration aux différentes parties prenantes,

  4. Vérification de l'efficacité des actions d'amélioration engagées pour s'assurer que ces dernières permettent d'atteindre les objectifs fixés.


Conclusion

Malgré les nombreux avantages qu'offre un SMSI pour les organisations, son déploiement est toutefois un processus assez complexe et continuel et lequel, comporte aussi beaucoup de défis auxquels, il faut absolument faire face et relever. C'est pour cela, que son déploiement doit être confié à des professionnels hautement rompus aux techniques de cybersécurité, au risque d'essuyer un échec et de mettre son organisation en péril.

Ce type de situation se traduit généralement dans les faits, outre le gaspillage du budget et les efforts contre-productifs consentis pour la réalisation du projet SMSI, l'organisation peut éventuellement écorcher sa réputation et remettre en cause la confiance dont elle jouissait auprès de ses clients et partenaires, ce qui à terme se solderait par la perte de parts de marché et donc des manques à gagner.

Besoin d'aide pour mettre en oeuvre un système de management de la sécurité de l'information?
Si c'est le cas, rencontrons-nous dans vos bureaux pour en discuter, sans aucun engagement de votre part!
Pour ce faire, organisez juste un rendez-vous à votre convenance et confirmez le moi par téléphone!

contact_phone


expand_less
Page précèdente!



© 1996-2025 FMF