Pourquoi mettre en place un SMSI dans votre entreprise ?

LecPac-Consulting vous accompagne dans votre démarche pour mettre en place votre SMSI et votre PRA

Votre pré-audit gratuit ici

 

Qu’est-ce que le SMSI ?

Le SMSI, gage de qualité et nécessaire pour la norme ISO 27001

Le système de management de la sécurité de l’information (SMSI) est un ensemble de politiques, de procédures et de moyens mis en place pour garantir la confidentialité, l’intégrité et la disponibilité des informations dans une organisation. Il a pour objectif de protéger les actifs informationnels contre les menaces internes et externes. 

Il vise alors à protéger les actifs numériques de votre entreprise tels que le système d’information, le matériel, les applications et permet d’éviter ou de contourner le risque d’interruptions dans vos activités en cas de faille.

Le SMSI est un gage de qualité, d’évaluation et de management de la sécurité de l’information. Il est d’ailleurs nécessaire d’en mettre un en place pour pouvoir être certifié ISO 27001. Nous vous en disons plus sur cette norme dans notre article dédié “La norme ISO 27001”.

Mettre en place un SMSI consiste à définir un système de gouvernance de la sécurité du Système d’information via une logique d’amélioration continue.

PDCA : le processus d’amélioration continue selon Deming

Amélioration continue, roue de Deming, PDCA, Plan Do Check Act

 

Amélioration continue – roue de Deming PDCA – Plan Do Check Act

Pour ce faire, nous vous conseillons de vous référer à la roue de Deming, ou plus communément appelée roue PDCA, dont l’acronyme signifie Plan – Do – Check – Act. C’est une méthodologie utilisée en gestion de projets, par les décideurs, porteurs de projets, entrepreneurs et responsables en vue d’améliorer continuellement un processus, une opération ou encore un produit.

Cette méthode est découpée en 4 phases : 

    • Plan, ou planifier : C’est la phase de planification qui nécessite d’identifier, mesurer et planifier les tâches à réaliser. A cette étape, tous porteurs de projets définissent l’objectif à atteindre, les missions, les responsabilités de chaque partie prenante, le budget alloué et réfléchissent aux mesures et KPIs.

    • Do, ou faire : une fois l’équipe projet définie et les responsabilités attribuées, celle-ci exécute les tâches en vue de la réalisation du projet.

    • Check, ou vérifier : cette étape est celle du contrôle. Elle consiste à mesurer les tâches réalisées et les comparer aux objectifs fixés en phase de planification. L’équipe se concerte pour comprendre ce qui n’a pas fonctionné en vue de l’améliorer et proposer des améliorations. Nous parlons alors de l’expérience qui est à imaginer comme une cale empêchant l’équipe de régresser.

    • Act, ou agir/réagir : Cette étape permet d’identifier les erreurs, réfléchir à des nouveaux axes de travail et à orienter l’équipe projet en vue d’amélioration.

Lorsque ces 4 étapes sont effectuées, l’équipe projet revient à la phase de planification pour reprendre le cycle de la roue PDCA. Et ainsi de suite. C’est un processus qui entraîne l’entreprise vers une amélioration continue de son fonctionnement et est sans fin.

Qu’est-ce que le SI ?

Pour expliquer simplement, le SI (système d’information) est un ensemble constitué des ressources de l’entreprise pour gérer l’information. Le SI englobe les technologies, les processus et les ressources humaines associées.

En termes de technologies, nous parlons du matériel, des logiciels et des moyens de communication utilisés pour collecter, stocker et traiter les informations.

Lorsque nous évoquons les processus dans le SI, nous sous-entendons que ses ressources technologiques s’alignent à la stratégie de l’entreprise et aux métiers qui la composent.

De nos jours, la technologie évolue très rapidement. Cela nécessite de la part des entreprises d’être hyper réactives face aux évolutions de son marché pour pouvoir rester compétitive. Par conséquent, chaque entreprise doit penser continuellement à adapter sa structure et cela nécessite donc de connaître son environnement et ses risques. C’est dans ce cadre que le SMSI est né et qu’il fait partie des prérequis obligatoires pour obtenir la certification ISO27001.

Quelles sont les étapes pour mettre en place un SMSI ?

Analyse des risques et mesures de sécurité

Mettre en place un SMSI nécessite une analyse des risques pour identifier les menaces potentielles et évaluer leur impact sur l’organisation. Cette analyse permet donc de définir les mesures de sécurité nécessaires pour protéger les actifs informationnels. Ces mesures sont à adapter selon la taille et les besoins de l’entreprise en matière de sécurité de l’information. 

Nous vous proposons de suivre la méthodologie d’évaluation des risques selon la norme ISO 27001.

Procédures pour mettre en place un SMSI

Une fois les mesures de sécurité définies, il est nécessaire de mettre en place des procédures pour garantir leur mise en œuvre effective. Celles-ci incluent différentes règles, notamment d’accès aux données, de sauvegarde, de gestion des incidents, gestion des identités et des accès, etc. 

L’organisation doit alors s’assurer que les procédures sont respectées pour mettre en place un SMSI. Cela nécessite donc d’intégrer un processus de contrôle des mesures de sécurité. Cela permet de détecter en amont les vulnérabilités du SI face aux menaces internes et externes. Ces contrôles sont réalisés de différentes manières, telles que les audits informatiques ou organisationnels, les tests d’intrusion ou encore les évaluations de conformité. Il est important de noter que les processus de contrôle doivent être régulièrement mis à jour pour tenir compte des évolutions des menaces et des technologies.

Gestion des incidents et PRA

Enfin, pour mettre en place un SMSI, nous vous conseillons également d’adopter un process de gestion des incidents. Celui-ci comprend donc des mécanismes de détection des incidents, de les signaler, les analyser, les traiter et enfin, les résoudre. Par conséquent, pour être réactif, vous devez également avoir répertorié les conséquences de ces incidents pour pouvoir être réactif face à la menace. Pour ce faire, nous vous recommandons vivement l’établissement d’un PRA (plan de reprise d’activité). Nos experts vous accompagnent dans votre PRA.

Retrouvez le détail dans notre article à ce sujet “Mettre en place un plan de reprise d’activité”.

Besoin de conseils pour rédiger votre Plan de Reprise d’Activité ?

Votre RDV conseil gratuit

7 étapes pour mettre en place votre SMSI

Pour que votre SMSI réponde aux critères de la norme ISO27001, LecPac-Consulting vous préconise de suivre ces 7 étapes : 

Etat des lieux des actifs informationnels Cela permet d’identifier les mesures de sécurité existantes et d’identifier les parties prenantes au SMSI ainsi que leurs enjeux. Cette étude est dite d’opportunité et assure la mise en conformité.
Définir le périmètre du SMSI Le périmètre concerne les activités concernées par la mise en œuvre du SMSI.
Définir la stratégie de sécurité de l’information Vous formalisez cette stratégie au travers de la politique de sécurité.
Identifier les risques Vous devez définir une méthode d’analyse et d’évaluation des risques qui est adaptée au contexte de votre organisation et de ses enjeux (économique, humain, marché, juridique, etc.)
Etablir un plan du traitement des risques Ce plan oriente les objectifs de sécurité attendus par votre organisation puisque vous devez adopter vos mesures de sécurité selon les risques identifiés au préalable. Vous devez également établir un planning de suivi pour s’assurer que votre SMSI reste toujours à jour.
Exploitation de votre SMSI Le SMSI entre dans une logique d’amélioration continue. Nous vous recommandons d’appliquer la méthodologie suivante : PDCA (Plan, Do, Check, Act)
Veille du SMSI Les risques et le secteur de votre organisation évoluent constamment. Vous devez maintenir à jour votre SMSI. Cela implique un audit régulier des risques, de vos actifs et des mesures de sécurité adoptés. Vous devez répertorier les événements survenus et indiquer les mesures appliquées puis les évaluer concrètement.
Les étapes clés pour implémenter un SMSI dans votre organisation

Quel est le coût prévisionnel pour mettre en place un SMSI ?

Le coût d’implémentation d’un système de management de la sécurité de l’information (SMSI) pour obtenir une certification ISO 27001 dépend de la grandeur et de la complexité de l’entreprise.Pour une petite entreprise de 20 employés, le coût varie entre 35 000 et 55 000 euros, avec une moyenne de 40 000 euros. Ce montant comprend les frais du certificateur qui peuvent être compris entre 10 000 et 15 000 euros pour chaque cycle de 3 ans. Il ne faut pas oublier le temps consacré à la mise en place de la certification, qui varie en fonction de l’engagement de l’entreprise. Enfin, le coût de l’accompagnement ISO et de la formation dépend également de la taille de l’entreprise et des services inclus.

Il y a également des dépenses supplémentaires à prévoir, telles que : 

    • Formations ;

    • Prestations externes ; 

    • Technologies nécessaires pour implémenter le SMSI (Antivirus, SIEM, etc.) ; 

    • Salaires des employés.

SMSI, ou comment manager la sécurité de l’information ?

En résumé, le système de management de la sécurité de l’information est un ensemble de politiques, de procédures et de moyens mis en place pour garantir la confidentialité, l’intégrité et la disponibilité des informations dans une organisation. Il est essentiel à toute organisation désireuse de protéger les actifs informationnels contre les menaces internes et externes. 

Mettre en place un SMSI efficace nécessite plusieurs points d’attention et demande une analyse des risques pour identifier les menaces potentielles et évaluer leur impact sur l’organisation. Pour rappel, le SMSI doit être régulièrement mis à jour pour tenir compte des évolutions des menaces et des technologies. C’est une tâche continue qui demande une attention constante pour assurer la sécurité de l’information de l’organisation. A noter aussi que la sécurité de votre SI et l’intégrité des informations passent aussi par vos collaborateurs. Ils doivent être régulièrement sensibilisés et avoir en leur possession les outils adéquats correctement configurés.

LecPac-Consulting vous accompagne dans votre démarche pour mettre en place votre SMSI et votre PRA

LecPac-Consutling est certifié ISO27001 et Hébergeur de Données de Santé. Nos experts en SI, sécurité, gestion de projets et audits vous aident à dresser un état des lieux de vos actifs informationnels, identifier les risques et les conséquences, établir les mesures de sécurité et le PRA et vous accompagnent dans la mise en place du SMSI au sein de votre organisation.

Nos experts évalueront avec vous divers points tels que : 

    • la politique de sécurité

    • la gestion de vos actifs

    • la gestion des incidents

    • la conformité

    • la sécurité des systèmes

    • votre plan de continuité d’activité

Nous vous accompagnons également pour vous préparer aux exigences de la norme ISO 27001.

Pour plus d’informations, prenez rendez-vous avec notre expert pour votre pré-audit gratuit :

Je souhaite un pré-audit gratuit

Ou contactez-nous directement depuis le formulaire ci-dessous.

Formulaire pour informations à remplir