Sélectionner une page

La sécurité de l’information n’est pas réservée aux seuls informaticiens, même si le système d’information repose en grande partie sur des solutions informatiques.

Mettre en place un Système de Management de la Sécurité de l’Information (SMSI) relève d’un choix stratégique de l’organisation, comme finalement toute norme de système de management (ISO 9001, ISO 14001, …).

La finalité du Système de Management de la Sécurité de l’Information est de préserver les 3 critères essentiels de l’information :

Sa Disponibilité,
Son Intégrité,
Sa Confidentialité,

en s’appuyant sur un processus de gestion des risques, destiné à renforcer la confiance des parties intéressées : actionnaires, clients, collaborateurs, prospects, partenaires, fournisseurs, Société.

La sécurité de l’information doit être une préoccupation de toute entreprise : dirigeants, managers, responsables qualité, … Intégrer les exigences de sécurité de l’information dans les processus métiers de l’entreprise permet de disposer d’un Système de Management Intégré (SMI).

La structure unifiée des normes ISO 9001, ISO 14001, ISO 45001 (anciennement OHSAS 18001) est une belle avancée. Il faudra toutefois attendre un peu :

• Fin 2015 pour les nouvelles versions ISO 9001 et ISO 14001
• Début 2016 pour la nouvelle norme ISO 45001.

En attendant les normes de systèmes de management QSE, vous pouvez prendre connaissance de la sécurité de l’information. Découvrez les exigences de norme ISO 27001 : décembre 2013 au travers de mon premier livre co-écrit avec Luc Villedieu.

ISO 9001 : 2013

Découvrir

La norme ISO 27001 version 2013 est le référentiel des exigences applicables si vous souhaitez mettre en œuvre un Système de Management de la Sécurité de l’Information (SMSI).

Quels sont les arguments pour déployer un SMSI ?

Ils sont multiples :

  • Choix de gouvernance de votre entreprise : pilotage des risques stratégiques et opérationnels en lien avec le contrôle interne.
  • Avantage concurrentiel : positionnement stratégique comme élément différenciant sur vos marchés.
  • Besoin du marché : conformité exigée par vos clients, postulat dans le cadre d’appels d’offre
  • Protection des actifs clés : brevet, savoir-faire industriel, protection des données CRM (clients, prospects), …

Ce livre s’adresse à tous ceux qui s’intéressent aux systèmes de management : ISO 9001, OHSAS 18001, ISO 14001, ISO 27001, … Le sujet de la sécurité de l’information s’appréhende comme la qualité, la santé et la sécurité des collaborateurs (SST) et l’environnement.

Pour ceux qui connaissent déjà la version précédente de la norme ISO 27001, vous aurez la possibilité d’aller à l’essentiel. Des tableaux de synthèse permettront d’identifier les nouveautés, les éléments modifiés et supprimés. La suppression concerne exclusivement certaines mesures de sécurité de l’information (ISO 27001 : 2013 – annexe A).

N’oubliez-pas qu’il y a toujours une richesse à lire même ce que l’on connaît. Notre objectif est de partager avec vous à la fois des bonnes pratiques à valoriser pour un déploiement futur, mais aussi nos points de vue sur la compréhension des exigences de cette norme.

Pour ceux qui découvrent vraiment pour la première fois le système de management de la sécurité de l’information, la lecture séquentielle du livre semble appropriée. Toutefois chaque chapitre est indépendant et peut être appréhendé directement en fonction de votre sensibilité, d’autant plus si vous êtes déjà familiarisés avec d’autres systèmes de management.

Interpréter

Une norme de système de management décrit les exigences à mettre en œuvre au sein d’une organisation. Une exigence formalise toujours ce que vous devez faire (le quoi) mais en aucun cas la manière dont vous allez y répondre (le comment).

Mettre en œuvre des solutions pragmatiques en conservant le sens pratique constitue la bonne approche.

Il est important de bien prendre en compte les nuances d’un texte normatif :

• exigences à appliquer impérativement
• exigences à appliquer sous certaines conditions.

Les règles de lecture sont importantes afin de ne pas déployer une réponse complexe à une question simple (dans le langage courant, une usine à gaz). Attention aux mauvaises interprétations ! Ce livre vous fait bénéficier de notre expérience acquise pendant nos missions d’accompagnement et de conseil, et de nos missions d’audit, dans des environnements variés.

Si vous connaissez d’autres systèmes de management (qualité, sécurité environnement), vous allez être à l’aise avec le sujet de la sécurité de l’information. Nous faisons régulièrement le parallèle avec les exigences des normes ISO 9001, ISO 14001 et OHSAS 18001 (future ISO 45001).

L’un des enjeux stratégiques des organisations est de pouvoir mettre en place un Système de Management Intégré (SMI) incorporant les exigences de plusieurs normes de systèmes de management. Nous l’aborderons plus tard dans ce livre.

Le socle de tous les systèmes de management est la norme ISO 9001 qui déploie le management par les processus. Ces derniers vont pouvoir prendre en compte les exigences des autres systèmes de management, afin de :

  • Protéger le personnel : OHSAS 1800
  • Préserver l’environnement : ISO 1400
  • Sécuriser les informations : ISO 27001

Si vous avez déjà mis en œuvre un Système de Management de la Sécurité de l’Information selon la norme ISO 27001 : 2005, vous allez pouvoir découvrir rapidement les différences :

  • La nouvelle structure de la norme : Chapitres 4 à 10
  • Le renforcement de certaines exigences du SMSI
  • Le regroupement de certains objectifs et mesures de référence : Annexe A

Capitaliser

La mise en pratique des exigences ISO 27001 version 2013 s’inscrit dans une approche SMI (Système de Management Intégré), comme nous l’avons déjà évoquée précédemment.

Les normes ISO 9001 (qualité), ISO 14001 (environnement), OHSAS 18001 (Santé et sécurité au travail), en cours de révision actuellement, vont s’inscrire dans la structure unifiée des normes de management, comme l’est déjà la norme ISO 27001 2013.

En vous passionnant pour la sécurité de l’information, vous allez pouvoir capitaliser sur de bonnes pratiques, applicables par extension à d’autres systèmes de management.

Ce livre vous apportera également des arguments pour promouvoir le fait que la sécurité de l’information est un enjeu stratégique pour votre Direction. Il démystifie un thème qui pourrait être considéré comme une affaire de spécialistes, réservée aux seuls informaticiens !

Tout dirigeant d’entreprise devrait se poser la question de la protection des actifs (Assets en anglais) et de l’information, éléments clés du succès et de la pérennité de sa société :

  • Comment le développement de nos produits est-il maitrisé?
  • Comment notre savoir-faire industriel ou tertiaire est-il capitalisé, diffusé, protégé?

Ainsi, la mise en œuvre d’un système de management de la sécurité de l’information est un principe de gouvernance pour la direction générale : Grâce au pilotage des risques stratégiques, le SMSI est amené à procurer aux dirigeants des organisations un avantage concurrentiel décisif sur leurs marchés.

Même si le SMSI ne vous garantit en rien un niveau de sécurité élevé, capitaliser et développer la culture de la sécurité de l’information dans votre entreprise vous permettra de disposer d’une véritable « caisse à outils », base de connaissance pour prévenir l’apparition d’incidents de sécurité et pour réagir si jamais un incident venait à survenir.

Dans la plupart des cas, vous serez confronté à ce type de situation : attaques virales, perte d’information stratégique, tentatives de fraude… Etre préparé à faire face sera alors pour vous un avantage décisif.

Comment allez plus loin?

N’hésitez-pas à utiliser les commentaires associés à cet article pour :

  • Poser vos questions
  • Créer le débat autour de la norme ISO 27001 version 2013 ou plus largement du SMI (Système de Management Intégré)
  • Partager vos propres expériences avec les autres lecteurs

 

ISO 9001 : 2013

Pin It on Pinterest

Recevez gratuitement mon livre pour économiser du temps et gagner en efficacité

Dites-moi simplement à quelle adresse mail je dois vous l'envoyer.

Merci! Vous allez recevoir un mail. :-)