Qu’est qu’un SMSI ?

Un SMSI est avant tout un système de management. Pour paraphraser la norme ISO 9000, je
dirais qu’un système de management permet d'établir une politique, de fixer des objectifs et
de les atteindre. En d’autres termes, il s’agit de mettre en œuvre des actions (techniques,
organisationnelles) pour atteindre un objectif fixé.
Les systèmes de management dépassent largement le cadre de la SSI : les plus connus d’entre
eux sont actifs dans le domaine de la qualité (norme ISO 9001) ou
de l’environnement (norme 14001). Toutefois, les idées directrices sous-jacentes sont
invariantes :

 la mise en place de bonnes pratiques et d’un retour d’expérience vise à améliorer

l’application des procédures ;
 la concrétisation formelle des documents de politique et des processus (comme la
PSSI) favorise les vérifications et les certifications.
Ce dernier point n’est pas à négliger : les certifications ont comme vertu d’augmenter la
confiance entre les entreprises et leurs clients.
Ensuite, un SMSI, c’est évident, concerne la sécurité de l'information ! Vous connaissez
maintenant bien ce qui se cache derrière ces termes. Je ne développerai donc ce point
davantage, qu’en rappelant qu’il s’agit d’assurer la confidentialité,
l’intégrité, la disponibilité et la traçabilité de l’information au sens large !
Au final, un SMSI peut se définir comme un jeu d’outils, de documents et de méthodes, qui
vise à fixer et à appliquer une politique de sécurité de l’information adaptée
au besoin d’une entreprise.
La mise en place d’un SMSI paraît séduisante. Toutefois, concrètement, comment en conduit-
on la mise en place ?
Comment le mettre en place ?
Très concrètement, la mise en place d’un SMSI opérationnel est exposée dans la norme ISO
27001 et repose sur les principes chers au domaine de la qualité. La démarche, connue sous
l’abréviation PDCA, ou principe de la roue de Deming, vise une amélioration continue du
système par le déploiement de 4 phases :
1. Plan : dans un domaine particulier, on planifie les actions à mettre en oeuvre. C’est ce
que vous avez fait lors de l’élaboration de la PSSI.
2. Do : la phase suivante consiste à passer à l’action, c’est la phase opérationnelle qui
permet d’avancer vers la cible fixée précédemment.
3. Check : cette étape consiste à évaluer les écarts entre les 2 premières phases.
4. Act : cette phase permet de combler les écarts par des actions correctives.
Le schéma suivant permet de bien en cerner le périmètre :
Les 4 phases de la démarche PDCA selon la norme 27001
Phase 1 : Plan
L’objectif de cette première étape est de poser les bases d’un SMSI opérationnel. Si on se
réfère au document de référence (la norme ISO 27001), il s’agit de :

 définir la politique et et de cadrer le périmètre du SMSI ;

 apprécier les risques et leur traitement des risques ;
 choisir les mesures de sécurité adéquates pour maîtriser les risques.
Vous l’aurez deviné, ces étapes correspondent aux premiers pas de l’élaboration de la PSSI,
comme nous l'avons vu dans la partie 2 ! En fait, la mise en place d’un SMSI est initiée par un
document qui cadre la politique.
Comme nous l’avons vu dans la partie 2, dans cette phase, le rôle du RSSI est une place de
maître d’ouvrage.
Phase 2 : Do
Globalement, l'objectif de cette étape est la mise en place de mesures évoquées dans la phase
précédente. Il s’agit de déployer la sécurité de manière opérationnelle.
Vous l’avez déjà certainement compris, sans surprise, la phase 2 de mise en place d’un SMSI
reprend les grandes lignes du plan d’action sécurité de la PSSI. Néanmoins, la mise en place
d’un SMSI, au sens de la norme ISO 27001, élargit le périmètre d’application en complétant le
plan d’action :

 tout d’abord, des indicateurs clés de performances ou de pilotage sont attachés à

chaque mesure, afin d’évaluer leur efficacité et leur conformité. Ce processus n’est pas
aisé. Toutefois, la norme ISO 27004 propose une méthodologie pour guider leur
élaboration ;
 ensuite, la norme 27001 préconise d’inscrire dans le marbre une formation de
sensibilisation des personnels de l’entreprise aux enjeux de la SSI. Cela tombe bien, il
s’agit d’un des thèmes abordés dans la PSSI !
Dans cette phase, la place du RSSI est orientée vers du conseil. Son rôle est aussi de se placer
en assistance à maîtrise d’œuvre, pour accompagner le changement au sein des équipes
projet.
Phase 3 : Check
Cette étape est la phase centrale de la démarche PDCA. Elle vise à mettre en œuvre les
moyens nécessaires pour mesurer la conformité des exigences de sécurité avec le cahier des
charges de référence que constitue la norme ISO 270001.
Cet aspect a déjà été abordé lors de l’élaboration de la PSSI : le rôle du RSSI est de vérifier la
bonne application des exigences afin que la cible définie soit atteinte le plus efficacement et
le plus rapidement possible.
Concrètement, pour mesurer les écarts entre les mesures prises et le niveau de référence,  le
RSSI peut réaliser (ou proposer de réaliser) :

 Des audits internes planifiés à l’avance ou des contrôles inopinés. Leur objectif est de

déterminer, grâce aux indicateurs précédents, l’écart entre la norme et le SMSI mis en
place. Pour les réaliser, le RSSI peut procéder en 3 étapes :
1. Mettre en place une procédure de feedback (on parle aussi de retour d’expérience ou
de lessons learned) qui permet à chaque responsable de faire part des changements dans
son périmètre.
2. Évaluer les impacts sur la version actuelle de la PSSI.
3. Animer une réunion de direction pour entériner les changements.
 Des audits de maturité du SI qui visent à déterminer les enjeux liés au système
d'information de l’organisme, de mesurer l'écart entre ce qui devrait être fait et ce qui
est fait, et d'expliquer les actions à mettre en œuvre pour gérer la SSI de manière
adéquate. L’ANSSI propose d’ailleurs un guide méthodologique pour les réaliser.
L’ISO 27002 peut également constituer une base solide.
 Des campagnes de tests d’intrusion ou des revues de code. 
Lors de la phase « Check » de la démarche PDCA, les différentes procédures de contrôle
dépendent également de la culture de l’entreprise, et de son niveau de prise en compte de la
SSI.
N’oubliez pas que la PSSI a été déclinée en un plan d’action pour sa mise en œuvre. Il
convient donc également de mettre à jour cette méthodologie de mise en place. Deux scénarios
sont possibles : si l'urgence le justifie, on peut le faire sur-le-champ. Sinon, à la prochaine
échéance de revisite.
Dans ce contexte, le RSSI peut avantageusement compléter les outils nécessaires, grâce à
l’élaboration et à la mise à jour d’un tableau de bord SSI au profit de l’équipe dirigeante.
Son objectif est de disposer à tous niveaux décisionnels d’un document synthétique de
référence qui offre un panorama technique, fonctionnel et organisationnel de la prise en
compte de la SSI.
Le tableau de bord peut également servir dans les phases d’audit pour mesurer le niveau de la
prise en compte de la SSI.
L'ANSSI en propose une méthodologie d’élaboration. En parallèle de la démarche de mise en
place, ce document propose des indicateurs de différents niveaux :

 stratégique (état d’avancement de la mise en place de la PSSI, par exemple) ;

 fonctionnel (suivi des audits, avancement de la sécurisation des réseaux, par exemple) ;
 et opérationnel (identification des incidents, suivi des formations de sensibilisation du
personnel).
Phase 4 : Act
Cette dernière phase vise à mettre en place les actions
correctrices, préventives ou d’amélioration pour réduire les dysfonctionnements relevés
dans la phase précédente. Il faut garder en tête que cette démarche en 4 phases vise une
amélioration continue du SMSI, pour tendre vers une conformité maximale aux textes de
référence.
Dans cette étape, le rôle du RSSI est orienté maîtrise d’ouvrage. Il définit les lignes
directrices des opérations nécessaires à l’amélioration des mesures en fonction des risques
identifiés, de la veille réglementaire et technique qu’il effectue, et des retours d’expérience des
parties prenantes au SMSI.
Et le cycle continue...
Cette première itération du cycle PDCA vous a amené à planifier la mise en oeuvre
d’exigences et de mesures de sécurité (phase Plan). Ces exigences ont été mises en place dans
la phase Do avec l’utilisation d’un plan d’action sécurité. Elles ont apporté un premier niveau
de sécurité. Après avoir instauré ces premières mesures, vous en évaluez l’application
effective dans la phase Check en mesurant les écarts encore à combler pour atteindre la cible
fixée. Enfin, ces écarts sont réduits grâce à des actions correctrices, dont l’objectif final est
bien de réduire les risques sur le SI et d’atteindre un niveau supérieur de sécurisation
(Phase Act). 
Vous l’avez certainement compris, ces nouvelles données modifient la maturité du SI en
termes de sécurité, et doivent donc être prises en compte dans une nouvelle itération. C’est
ainsi qu’un nouveau cycle recommence pour une nouvelle itération. L'objectif est
d’améliorer la maturité du système de manière continue et permanente.
Lors de la lecture de ce chapitre, vous avez appris ce qu’est un SMSI, comment il doit être mis
en place (grâce à la norme ISO 27001) et comment il vise une amélioration continue de la
sécurité, par la mise en œuvre de l'approche PDCA.
Ce chapitre sur le SMSI clôt le cours sur l’élaboration de la politique SSI de votre entreprise.
En résumé :
 un SMSI est un ensemble d’outils (comme le tableau de bord), de documents (comme
la PSSI) et de méthodes (comme la démarche PDCA) qui vise à fixer et à appliquer une
politique de sécurité de l’information adaptée au besoin d’une entreprise ;
 il permet à l’entreprise de fixer les objectifs, de les atteindre et, finalement, d’évaluer
leur effet dans un objectif d’amélioration constante ;
 pour le mettre en œuvre, la norme ISO 27001 préconise une approche qualité basée sur
une démarche (Plan - Do - Check - Act) d’amélioration continue.
Un dernier mot
Vous êtes désormais capable de réaliser les analyses nécessaires pour cadrer le
contexte, évaluer les risques qui pèsent sur le SI de l’entreprise, et d’en formaliser les
mesures de mitigation. Vous avez également appris à mettre en œuvre une amélioration
continue de la PSSI en fonction de l’évolution des activités de votre entreprise, ou du
contexte réglementaire dans lequel elle évolue. Cette démarche d’amélioration continue
s’inscrit plus globalement dans la mise en œuvre d’un système de management de la
sécurité de l’information, dont le fonctionnement est décrit dans la norme ISO 27001.
J’ai été ravi de partager mon expérience dans ce domaine avec les futurs
managers ou responsables SSI que vous êtes sur le point de devenir. Je vous souhaite de
vous épanouir dans ce domaine passionnant !

Les tableaux de bords et les indicateurs à la bonne gestion d'un

SMSI.  27004

ISO 27001 Système de Management de la sécurité de

l'information
 SMSI Manager la sécurité du Système d'Information

Définition ISO 27001

I SO 27001 est une norme d'origine britannique dédiée au système de management de la

sécurité de l'information. L'ensemble ISO 27000 est décliné en plusieurs sous-normes
indicées, thématiques et sectorielles.

Elle traite aussi bien de la gestion des risques que du pilotage de la fonction (indicateurs et
tableaux de bord).

La norme ISO 27001 est orientée processus et propose en toute logique une démarche
d'amélioration continue de type PDCA.

Le PDCA
L'installation d'un Système de Management de la Sécurité de l'Information ne se déroule
pas en un temps unique. Le système se doit de s'inscrire dans une démarche plus globale
de progrès continu du type roue de Deming ou PDCA.

La démarche n'est pas sans rappeler, dans son principe en tout cas, la mise en place d'un
référentiel ISO d'entreprise plus classique comme 9000 ou ISO 14000.

On retrouve ainsi non seulement le coutumier PDCA mais aussi l'approche processus.

Le PDCA propose 4 temps : Plan Do Check Act

 Plan
Elaboration de la politique sécurité des SI, précision du périmètre d'intervention,
définition des objectifs, analyse et maîtrise des risques, identification et évaluation,
cartographie.
 Do
Plan et déploiement des mesures de sécurité, élaboration et application des
procédures spécifiques, sensibilisation et formation, sélection des indicateurs et
réalisation des tableaux de bord de la sécurité.
 Check
Audit et contrôles internes, revue
 Act
Action corrective, identification des voies d'amélioration, bouclage.

Certification ISO 27001

Pour exprimer auprès de ses partenaires clients et fournisseurs la conformité de son SMSI
aux exigences de la spécification, il est tout à fait possible de procéder à une démarche de
certification. Celle-ci sera délivrée par un organisme habilité après une série d'audits
successifs. Cette démarche, souvent plus contraignante qu'il n'y paraît, reste encore assez
rare, en France en tout cas.

Iso 27000
Les principales normes du standard ISO 27000

 27000 Présentation, glossaire

 27001 La norme internationale SMSI
 27002 Sécurité de l'information, les 133 bonnes pratiques
 27004 Les indicateurs de sécurité, la mesure et la métrique pour le suivi du SMSI
 27005 La gestion des risques

Code de bonnes pratiques pour le management de la sécurité de

l’information (27002)

 La norme ISO/IEC 27002:2013 constitue un code de bonnes pratiques. Elle est

composée de 114 mesures de sécurité réparties en 14 chapitres couvrant les
domaines organisationnels et techniques ci-contre.
  C’est en adressant l’ensemble de ces domaines que l’on peut avoir une
approche globale de la sécurité des S.I.

Gestion des risques (27005)
La norme 27005 présente une démarche :
 Établissement du contexte de l’analyse des risques ;
 Définition de l’appréciation des risques SSI ;
 Choix pour le traitement du risque SSI ;
 Acceptation du risque ;
 Communication et concertation relative aux risques SSI ;
 Surveillance et revue du risque en SSI.