Le SMSI en bref

Détails
Catégorie : Global

On attend par SMSI le système de management de la sécurité de l’information basé sur la norme ISO 27001. Un Système de Management est un système documenté et structuré basée sur le concept de l’amélioration continue ou roue de Deming. On dit que c’est un système documenté car, il est composé par des procédures, politiques, méthodes de travail et des enregistrements.

 

Concept d’amélioration continue

Le concept d’amélioration continue a été  conçu par Edwards Deming qui a pensé que pour atteindre et améliorer de façon continue les objectifs d’une organisation, il faut les évaluer par rapports aux retours venants des clients et des processus. Ce concept a été exploité par les japonais dans leur méthode appelé Kaizen qui a contribué  au développent exponentiel de l’empire Toyota. Par ailleurs, la vulgarisation du système de management a été propulsé par l’arrivé de la norme ISO 9001. Dans le concept d’amélioration continue, il y a quatre phases :

  • La phase Plan (planification) : Planifier ce que l’on va faire
  • La phase Do (faire) : Faire ce que l’on a planifié
  • La phase Check (Vérifier) : Vérifier s’il y a des écarts entre la planification et l’implémentation
  • La phase Act (Réagir) : Apporter des actions correctives pour rectifier les écarts trouvés dans la phase Check.

Qu’est ce qu’un SMSI ?

Un SMSI ou Système de Management de la Sécurité de l’information est un système qui applique le concept de l’amélioration continue sur la sécurité de l’information. Il a été conçu pour établir, mettre en œuvre, exploiter, surveiller, revoir, maintenir et améliorer la sécurité de l’information. Un SMSI certifie que :

  • Les actifs informationnels ou les biens essentiels de votre entreprise sont bien définis et sécurisés
  • Les risques liées à la sécurité sont bien gérés et atténuées
  • Des politiques et des procédures sont en place
  • Les mesures de sécurités sont respectées et vérifiées régulièrement

Le SMSI et les normes ISO

De nos jours, l’information et le système d’information jouent un rôle très important au sein de chaque organisation. Par conséquent, il faut les protéger contre les attaques et les catastrophes. Pour ce faire, il faut bien gérer la sécurité de l’information dans les entreprises, mais cela nécessite une approche systématique et complexe. Face à ce problème; ISO a mis en place les séries de normes ISO 27000 pour faciliter la gestion de la sécurité de votre système d’information.

Les plus importants de ces séries de normes sont la norme ISO 27001 et la norme ISO 27002. La première fournie les exigences pour la mise en place d’un SMSI et la seconde est un outil de référence pour sélectionner les mesures de sécurité nécessaires pour sa mise en œuvre. L’ISO 27001 parle de la façon pour mettre en œuvre, surveiller, maintenir et améliorer en permanence un SMSI. ISO 27001 est également la norme qui régit la certification du SMSI. La dernière version de l’ISO 27001 est la version 2013.

Comment le SMSI perçoit-elle la sécurité de l’information ?

En se référant sur la norme ISO 27001, la sécurité de l’information est la protection de l’information pour assurer ce qui suit :

  • La confidentialité : La confidentialité garantie que l’information est accessible aux personnes ou aux systèmes autorisées à y accéder seulement.
  • L’intégrité : L’intégrité signifie que l’information est exacte et complète et que l’information ne soit pas modifiée sans autorisation.
  • La disponibilité : La disponibilité signifie que l’information est accessible aux utilisateurs ou systèmes autorisés en cas de besoin.

Les avantages qu’un SMSI peut apporter

La mise en place d’un SMSI nécessite du temps et de budget et parfois le top management des entreprises pense que c’est de la dépense pour rien car il ne génère pas directement des profits pour l’organisation. Cependant, il peut apporter des nombreux avantages:

  • Si l’information est l’atout majeur ou la base de votre entreprise, le SMSI permet alors de protéger et de rentabiliser votre activité
  • La direction de l’entreprise est toujours impliquée dans la sécurité
  • Votre fiabilité et crédibilité vis à vis de vos partenaires s’améliorent
  • La certification de votre SMSI ouvre d’autres opportunités d’affaires
  • Les sources d’informations et les données sont utilisées de manière plus efficace
  • L’adoption des bonnes pratiques
  • Le SMSI rend votre investissement dans la sécurité de l’information plus efficace
  • Le SMSI change la culture de votre entreprise

En somme, le SMSI est non seulement un système qui améliore la sécurité de vos données et vos informations, elle conduit aussi à une utilisation plus efficace de vos informations et une meilleure position concurrentielle sur le marché.

Est- ce que le SMSI est fait pour les petites entreprises ?

Quelque soit la taille de votre organisation, que ce soit un multinationale ou une entreprise familiale avec 10 salariés, vous pouvez toujours mettre en place un SMSI. ISO l’a précisé dans la norme ISO 27001.