Comprendre le SMSI

Le SMSI a pour but de maintenir et d’améliorer la position de l’organisme qui le met en oeuvre du point de vue, selon les cas, de la compétitivité, de la profitabilité, de la conformité aux lois et aux règlements, et de l’image de marque. Pour cela il doit contribuer à protéger les actifs (assets) de l’organisme, définis au sens large comme tout ce qui compte pour lui. Pour déterminer les mesures de sécurité dont la phase Plan devra fournir une énumération, la norme IS 27001 s’appuie sur le catalogue de mesures et de bonnes pratiques proposé par la norme IS 27002 (ex-17799), « International Security Standard » [80], plus volumineuse et au contenu plus technique. Afin de mieux en parler, le SMSI est accompagné d’une norme qui en définit le vocabulaire : IS 27000. IS 27001 impose une analyse des risques, mais ne propose aucune méthode pour la réaliser : l’auteur du SMSI est libre de choisir la méthode qui lui convient, à condition qu’elle soit documentée et qu’elle garantisse que les évaluations réalisées avec son aide produisent des résultats comparables et reproductibles. Un risque peut être accepté, transféré à un tiers (assurance, prestataire), ou réduit à un niveau accepté. Le corpus ISO propose néanmoins sa méthode d’analyse : IS 27005. Un autre exemple de méthode d’analyse de risque utilisable dans le cadre d’IS 27001 est la méthode EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité) 7, qui « permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information (SSI). Elle permet aussi de communiquer à leur sujet au sein de l’organisme et vis-à-vis de ses partenaires afin de contribuer au processus de gestion des risques SSI. » Élaboration et mise en place du SMSI La norme IS 27001 précise la démarche qui doit être suivie pour élaborer et mettre en place le SMSI : sans entrer trop dans les détails, ce qui risquerait d’enfreindre les droits des organismes de normalisation qui vendent fort cher les textes des normes, disons que l’organisme désireux de se voir certifier. Retrouvez plus de renseignements sur l'Agence SEO 59.