À l’heure de la transformation numérique, la donnée est devenue un incontournable des entreprises : sur les activités, les fournisseurs ou même les informations commerciales sensibles, ce sont là autant de données à sécuriser. C’est ce que désignent la sécurité de l’information et sa traduction dans l’entreprise : le SMSI, pour Système de Management de la Sécurité de l’Information. Découvrez en quoi il consiste, comment il est mis en place et quel est son champ d’application.
Pour plus de conseils sur la bonne gestion de vos données, téléchargez notre livre blanc sur le data management !
Qu’est-ce que le SMSI ?
Le SMSI désigne un ensemble de politiques et de processus visant à gérer la sécurité et à atténuer les risques, particulièrement pour la sécurité de l’information. Il s’agit d’un cadre global concernant, sinon l’ensemble, du moins la majorité des services de l’entreprise : il n’est pas qu’une question informatique, mais impacte également de nombreux autres processus, comme le respect des normes comptables.
Un SMSI doit être en conformité avec des normes connues, comme les common criteria ou la plus connue, la norme ISO 27 001 (officiellement ISO/IEC 27 001), qui « spécifie les exigences relatives aux systèmes de management de la sécurité des informations » (source). Elle n’impose pas de mesures spécifiques, mais donne les lignes directrices à adopter pour le développement d’un SMSI.
Dans son approche, le SMSI cherche à établir un compromis équilibré entre, d’une part, le risque encouru et, d’autre part, l’atténuation de ce même risque. Il s’agit d’apporter une réponse proportionnelle : la gestion des actifs, par exemple, implique l’échange de données sensibles et doit donc faire l’objet de processus renforcés.
D’ailleurs, certains secteurs lourdement réglementés requièrent un large éventail de protocoles et de stratégies d’atténuation des risques ; c’est le cas de la santé et de la finance, par exemple. On le comprend, le SMSI répond aux menaces internes et externes, lesquelles sont en constante évolution. Dans cette perspective, le système doit lui aussi être constamment optimisé.
Le SMSI : une optimisation continue de la sécurité de l’information
Avec plus de 450 000 nouveaux malwares créés chaque jour, les enjeux de sécurité sont sans cesse renouvelés : le SMSI ne doit pas être une création unique, mais au contraire se montrer dynamique. Il doit en ce sens évoluer et améliorer ses processus pour faire face aux nouveaux risques (comme les cybermenaces sans cesse renforcées face aux protocoles de sécurité déployés), en prenant également en compte les changements dans l’organisation (culture d’entreprise, ressources, etc.).
Puisqu’il constitue un cadre global de sécurité, le SMSI requiert souvent un temps d’accompagnement auprès des collaborateurs : ils doivent être initiés aux risques et déployer les protocoles prévus par le SMSI. Le défi est d’autant plus coriace que l’entreprise et ses effectifs doivent constamment s’adapter aux nouvelles évolutions du système.
Le Plan-Do-Check-Act pour optimiser le SMSI en continu
Ainsi, afin d’être mis en œuvre, le SMSI suit un modèle Plan-Do-Check-Act (PDCA) :
- Planifier (Plan) : vous collectez toutes les informations nécessaires à l’identification des failles et l’évaluation des risques. Sur cette base, vous définissez un ensemble de politiques et de processus, puis établissez des méthodes pour vous assurer de l’optimisation continue du SMSI.
- Faire (Do) : vous appliquez les politiques déterminées en suivant la norme ISO 27001 et les ressources qu’a votre entreprise.
- Vérifier (Check) : vous menez une veille de l’efficacité des processus et évaluez les résultats.
- Agir (Act) : vous améliorez les processus existants, en éliminez ou en construisez de nouveaux grâce à ces retours.
Le PCDA est un modèle global qui doit être décliné dans l’ensemble des domaines couverts par le SMSI.
Quels sont les domaines du contrôle de sécurité du SMSI ?
Les champs d’application du SMSI sont définis, là aussi, par la norme ISO 27001 ; nous les détaillons ci-dessous.
Politiques et organisation de la sécurité de l’information
C’est le volet le plus important de la norme : on définit une orientation de politique générale, sur la base de l’entreprise, de ses activités, de son évolution et de ses besoins de sécurité. L’organisation peut ainsi diminuer les risques liés au réseau de l’entreprise, à savoir les cybermenaces internes comme externes ainsi que les potentiels dysfonctionnements du système.
Les processus de l’entreprise
Ce sont les volets les plus nombreux du contrôle de sécurité du SMSI :
- Gestion des communications et des opérations. L’ensemble des systèmes et processus doivent être en accord avec le SMSI ; il en va de même pour toutes les opérations courantes, comme la fourniture de services.
- Gestion des actifs. Cela couvre les actifs organisationnels et donc l’échange d’informations commerciales sensibles.
- Sécurité physique et environnementale. Le matériel informatique doit être protégé contre les dommages et pertes et cela s’étend d’ailleurs aux réseaux cloud sécurisés situés en-dehors du site de l’organisation.
- Continuité de l’activité. L’entreprise doit faire preuve de résilience et l’activité, si elle est interrompue, doit reprendre au plus vite. C’est par exemple ce que l’on retrouve pour les « opérateurs de services essentiels » dans le cadre de la directive NIS.
- Délimitation des droits d’accès. Il s’agit de définir les rôles et responsabilités des collaborateurs et des informations auxquelles ils peuvent accéder, tant sur les supports physiques qu’informatiques. Le SMSI surveille le réseau et détecte les actions irrégulières.
- Cryptographie. Pour la protection des données sensibles, la cryptographie est souvent utilisée, mais elle n’est pas invulnérable. Le SMSI formalise donc les processus cryptographiques et indique comment ils doivent être gérés.
Sécurité des collaborateurs et des tiers
Il s’agit, enfin, de se concentrer sur les personnes :
- Sécurité des ressources humaines. On se concentre ici sur les effectifs et leurs activités. L’objectif est d’abord d’identifier les erreurs humaines et d’adopter des mesures de formation pour diminuer les manquements involontaires à la sécurité. Enfin, il s’agit également de réduire le risque de menace interne.
- Relations avec les fournisseurs. Ceux-ci peuvent requérir des accès au réseau et à des données sensibles, et s’il n’est certes pas possible d’appliquer les mêmes protocoles de sécurité à tous, il faut mener des contrôles adéquats pour atténuer les risques. Cela peut passer, par exemple, par des mesures de sécurité informatique et des obligations contractuelles avec les tiers.
Les domaines peuvent bien sûr connaître des variations selon l’organisation, mais l’exhaustivité du SMSI donne une approche globale de la sécurité de l’information. Le SMSI présente donc des atouts face aux cybermenaces et dysfonctionnements du réseau, mais n’adresse toutefois pas d’autres risques prégnants eux aussi, comme celui de la fraude (arnaque au FOVI, fraude au faux fournisseur, etc.). En plus du SMSI, il est donc intéressant pour votre entreprise de s’équiper d’une solution anti-fraude, comme Trustpair. La plateforme contrôle vos données tiers en continu et vous alerte en cas d’anomalie, vous protégeant de la fraude. Contactez un expert pour en savoir plus !
Pour conclure…
-
Un SMSI est un système de management permettant de définir des actions (techniques, organisationnelles) pour atteindre un objectif fixé.
- Ce modèle contribue à la gestion de la sécurité au sein de l’organisation, tout en atténuant les risques, en particulier sur la thématique de la sécurité de l’information.
- Le SMSI suit un modèle Plan-Do-Check-Act. Soit, un processus en quatre temps: Collecte des informations, Application des politiques déterminées, Veille, Amélioration.
- Il permet une accentuation sur la sécurité des ressources humaines et des relations avec ses fournisseurs.
- Une solution de gestion unique comme Trustpair vous permet de gérer les risques de manière proactive.
