Un système de gestion de la sécurité de l'information est la pierre angulaire de la norme ISO 27001. Le cadre est conçu pour fournir des conseils pour la création, l'évaluation, la maintenance et l'amélioration d'un SMSI sécurisé.

Ci-dessous, nous allons déballer ce qu'est un SMSI, et nous allons expliquer comment en construire un qui réponde aux exigences de la norme internationale ISO 27001.

Qu'est-ce qu'un système de gestion de la sécurité de l'information ? (SMSI)

Si les actifs d'information d'une organisation sont ses joyaux de la couronne, le SMSI est le coffre-fort. Ce sont les personnes, les systèmes, la technologie, les processus et les politiques de sécurité de l'information qui se réunissent pour protéger les données sensibles à travers toute l'organisation.

Mais un SMSI est plus que le matériel et les logiciels que vous utilisez pour sécuriser les informations — c'est aussi un ensemble de principes qui guident et gouvernent comment vous :

  • Utilisez les informations
  • Stockez et récupérez les données
  • Évaluez et traitez les risques
  • Améliorez continuellement la sécurité des données

Le processus de création d'un SMSI vous aide à :

  • Identifier les parties prenantes clés et leurs exigences en matière de sécurité de l'information
  • Définir des attentes et des responsabilités claires en matière de sécurité de l'information dans toute l'organisation
  • Identifier les menaces aux actifs d'information
  • Définir et mettre en œuvre des contrôles pour atténuer les vulnérabilités
  • Surveiller et mesurer les performances des contrôles de sécurité de l'information
  • Améliorer continuellement le SMSI

Quels sont les composants d'un SMSI ?

Un SMSI englobe les quatre P :

  1. Personnes
  2. Politiques et processus
  3. Produits et technologies
  4. Partenaires et fournisseurs tiers

En pratique, un SMSI inclut tout, des processus RH comme les vérifications des antécédents, au cryptage des données et aux pratiques de développement sécurisées, à la planification de la continuité des affaires et à la gestion des risques des fournisseurs. Il inclut tout ce qu'une organisation fait pour identifier et gérer les risques de sécurité de l'information.

Les avantages d'un SMSI conforme s'étendent au-delà de la certification ISO 27001. Il peut vous aider à améliorer l'efficacité des affaires, identifier les redondances et réduire les coûts, et établir des pratiques de sécurité évolutives.

Comment construire un SMSI conforme aux exigences de l'ISO/IEC 27001:2013

La norme de sécurité de l'information ISO 27001 définit ce que les organisations doivent faire pour créer et maintenir un SMSI conforme.

  • Définir le périmètre du SMSI. Toutes les informations ne relèveront pas du périmètre de votre SMSI. Selon la clause 4.3, les organisations doivent d'abord définir quels actifs d'information doivent être protégés.
  • Réaliser une évaluation des risques. Ensuite, vous devrez identifier les vulnérabilités de chaque actif d'information. Une évaluation des risques vous aidera à identifier des menaces spécifiques afin que vous puissiez créer un plan pour les atténuer.
  • Créer un plan de traitement des risques. Une fois les risques identifiés, vous pouvez décider quoi en faire. En fonction de l'appétit pour le risque de votre organisation, vous pouvez soit accepter, traiter, éviter ou transférer le risque.
  • Concevoir et mettre en œuvre des contrôles de sécurité. L'annexe A décrit des groupes de contrôles de sécurité pour aider les organisations à décider quels contrôles utiliser. L'ISO 27002 fournit plus d'informations détaillées sur chaque contrôle, y compris comment le mettre en œuvre.
  • Effectuez des audits internes réguliers. Une fois que vous avez construit votre SGSI, vous devez surveiller son efficacité avec des audits internes réguliers. Les résultats de ces audits internes vous aident à améliorer votre SGSI et à vous assurer qu'il continue de répondre aux besoins de votre organisation au fil du temps. 
  • Définir un processus d'amélioration continue. En général, la direction examine les résultats de chaque audit interne pour discuter des améliorations potentielles du SGSI.