Retour

L’intérêt d’un SMSI pour une organisation

Un responsable en gestion du risque devrait toujours supposer que la liste des risques pris en compte, aussi vaste soit-elle, est incomplète.
Douglas W. Hubbard

SMSI

L’ISO 27001 est un référentiel normatif international définissant un ensemble d’exigences qu’une organisation doit suivre afin de gérer efficacement la sécurité de son système d’information. L’application de cette norme n’est possible que par la mise en place et l’adoption d’un Système de Management de la Sécurité de l’Information (SMSI), permettant le pilotage de la sécurité au sein de l’organisation dans laquelle il s’applique. Un SMSI certifié ISO 27001, sans être une fin en soi, apporte clairement un gage de confiance et de qualité sur la thématique de la sécurité de l’information.

Avant de commencer

Afin de construire un SMSI objectif, les premiers travaux de Systancia ont consisté à faire réaliser une analyse des risques selon la méthode EBIOS de l’ensemble de ses activités. En effet, l’analyse des risques constitue à ce jour le principal socle du SMSI de Systancia dans l’établissement des priorités de déclinaison de ses mesures de sécurité (actions organisationnelles ou techniques en réponse à un risque identifié).

La définition d’un périmètre adéquat du système est un prérequis important permettant de prendre en compte à la fois les exigences des parties prenantes et les exigences  de l’organisation. Le choix d’un périmètre adéquat et bien proportionné permet généralement à l’organisation de mobiliser un niveau de ressources en adéquation avec ses propres capacités. La définition des rôles et des responsabilités vis-à-vis du SMSI, sera par la suite un bon exercice permettant de vérifier que le périmètre de départ est capable d’endosser l’ensemble des exigences du SMSI.

Systancia a choisi d’étendre le périmètre de son SMSI à l’ensemble de ses activités (production, marketing, commercial, etc.) car nous sommes convaincus que c’est uniquement en ouvrant en grand les yeux sur ce qui nous entoure qu’il est possible de prendre conscience des risques auxquels nous sommes confrontés.

Mesures techniques ou organisationnelles

L’ordre de déploiement des mesures techniques ou organisationnelles a son importance dans la gouvernance des SI. Il arrive parfois que certaines organisations ne prennent pas en considération le SMSI au moment de la conception et la définition des techniques des systèmes d’information. L’intégration d’un SMSI à l’issue d’un déploiement technique peut s’avérer très difficile, coûteux, voire impossible à corriger dans des délais raisonnables et acceptables.

D’un point de vue d’un SMSI basé sur l’ISO il suffirait de déployer des mesures de nature organisationnelle, de piloter le tout de manière responsable pour en tirer de bons résultats. Attention tout de même à ne pas créer une simple carapace vide, le subterfuge serait de courte durée !

Dans la réalité des choses, nous pensons que les mesures organisationnelles ne sont efficaces et rendent un SMSI pertinent, si et seulement si ces dernières sont déclinées en mesures d’ordre technique, à condition d’en respecter l’ordre d’établissement tel que défini précédemment.

Vous n’êtes pas convaincus de l’utilité d’un SMSI ?

Voici une courte liste d’ avantages apportés par un SMSI :

  • Renforcer l’assurance d’une organisation dans la maîtrise de risques identifiés
  • Adopter une attitude d’amélioration continue
  • Apporter la confiance attendue aux parties prenantes
  • Se démarquer de la concurrence
  • Remplir ses obligations légales et garantir sa conformité réglementaire sur les sujets de la sécurité
  • Structurer la démarche sécurité d’une organisation
  • Mobiliser et responsabiliser le management à tous les niveaux de l’organisation
  • Valoriser l’être humain et les compétences autour d’objectif(s) commun(s)
  • Donner du sens à chaque collaborateur qui, en retour, participe à l’amélioration continue
  • Participer à la pérennité de sa gouvernance

Vous l’aurez compris, la sécurité appliquée seule c’est bien, mais avec un SMSI c’est quand même mieux ! Et pour vous le SMSI c’est pour quand ?

Lucas Waltrowski – Quality Manager