PS-CyberSecurity, entreprise spécialisée en implémentation SMSI ISO 27001 à Rennes

Les risques

Un risque est un effet d'une incertitude sur les résultats à atteindre. Cet effet peut résulter d'une menace mise en œuvre par un acteur à l'aide d'un ou plusieurs moyens conjugués. La gestion des risques va consister à identifier des scénarii potentiels, les qualifier et identifier les contremesures à déployer pour réduire le risque identifié. Comme le précise la norme ISO 27001 et la directive NIS2, toute démarche de sécurisation doit être menée par les risques. C'est par ce biais, par exemple, qu'une entité pourra s'assurer d'avoir bien identifié toutes les menaces qui pèsent sur l'environnement étudié et ses informations.

Cette approche par les risques doit être validée et portée au plus haut de l'environnement étudié, autrement dit, la Direction de cet environnement. Seule, cette étude garantira la juste sécurité appropriée.

entreprise spécialisée en implémentation SMSI ISO 27001 à Rennes

Les normes et référentiels

A ce jour, il existe un certain nombre de normes et recueils de bonnes pratiques pouvant être mis en œuvre en matière de cybersécurité. Il ne sera pas forcément utile, ni même recommandé, de tout déployer dans une entité. En France, il est possible de prendre en référence les Guides de l'ANSSI, les normes ISO 27xxxNIS2, le CIS etc... Il appartiendra à chaque entité de sélectionner le(s) bon(s) référentiel(s) en fonction de ses objectifs. Par exemple, une certification selon la norme ISO 27001 sera particulièrement utile, pour garantir une conformité de gestion de la sécurité de l'information, gage de confiance pour un client. C’est ce référentiel qui sera utilisé pour certifier un Système de Management de la Sécurité de l'Information (SMSI).

Une attention particulière doit être également portée sur NIS2, dont la conformité à ce règlement européen va rapidement devenir obligatoire pour un certain nombre d’entreprises.

Le SMSI

Un SMSI est un processus et doit être basé sur la méthode PDCA (Plan, Do, Check, Act). Il est recommandé d’implémenter un SMSI selon la norme ISO 27001. Afin de démontrer une amélioration continue, et en particulier pour obtenir la certification, le SMSI devra avoir suivi un cycle complet du PDCA. Cela peut prendre un certain temps suivant le périmètre du SMSI et la culture de sécurité inhérente à ce périmètre, aussi, il est souhaitable de prendre en compte cette contrainte, en particulier dans la programmation des audits internes et externe. Toutes les exigences de la norme devront avoir été correctement implémentées pour réussir l'audit de certification.

Planifier le SMSI 
(Plan du PDCA)

Ceci doit passer par un état des lieux, une identification, de la culture sécurité dans l’entité visée et son domaine d’application. Ceci conduira obligatoirement à une définition d’une politique de sécurité de ce SMSI, parfois existante, parfois à modifier, parfois à créer dans son intégralité. 

Mettre en œuvre le SMSI (Do du PDCA)

Ceci doit permettre d’identifier les acteurs et processus supports impactés, et le système documentaire requis. Une phase de rédaction ou de revue des documents de sécurité existants peut être nécessaire comme par exemple la rédaction d’un programme de sensibilisation, d’un programme d’audit, d’une procédure d’accès, etc…

Contrôler le SMSI 
(Check du PDCA)

Elle se décline en trois parties, suivi en comité de pilotage (avancement et efficacité des mesures par exemple), audits internes du SMSI, et revue de Direction (évolution du périmètre, des objectifs, objectifs atteints etc…). Dans l’objectif d’une certification, cette étape de contrôle est obligatoire et doit avoir été réalisée au moins une fois.

Améliorer le SMSI
(Act du PDCA)

Les audits sont des sources d’amélioration continue et parfois même, de plus-values. Chaque non-conformité détectée lors des audits internes doit être traitée selon la procédure définie. Il est également requis d’identifier des actions permettant d’améliorer la sécurité de l’information. 

Conclusion

La mise en place de la norme ISO 27001 peut être une tâche de longue haleine, pour autant, l’impact en matière de sécurité de l’information, comme en termes de confiance, n’est pas négligeable. A l’heure où les attaques cyber, comme internes, sont de plus en plus nombreuses, engendrant des impacts financiers significatifs, les entreprises et administrations, sur leurs périmètres sensibles, ne peuvent plus ignorer cette opportunité.

Forte de l’expérience de son fondateur en matière d'implémentation de SMSI, PS-CyberSecurity est à votre écoute pour vous accompagner dans cette démarche sur toute la France.

Demandez un devis

Création et référencement du site par Simplébo   |   Site créé grâce à La SG

Connexion