Un système de management de la sécurité de l'information (SMSI) - en

anglais : Information security management system, ou ISMS - est un ensemble de

politiques visant la gestion de la sécurité de l'information.

Le plus connu des SMSI est celui qui fait l'objet de la norme ISO/CEI 27001, publié
par l'ISO, en complément de ISO/CEI 27002 (anciennement référencé ISO/CEI
17799), mais certains pays comme l'Allemagne, le Japon, les États-Unis
(département de la Défense en particulier) ou la Corée ont établi leurs propres
normes SMSI.

Description
[modifier | modifier le code]
Un SMSI doit être efficace à long terme, c’est-à-dire qu'il peut s’adapter aux
changements qui ont lieu dans l’environnement interne et externe.

L’ISO/IEC 27001:2005 a adopté l’approche de la Roue de Deming (Deming

Cycle ou Plan-Do-Check-Act : PDCA, en anglais) qui se décompose de la manière
suivante :

1. Plan : Création du SMSI en évaluant les risques de sécurité de l’information et

en choisissant les méthodes de vérification adaptées ;
2. Do : Mise en œuvre des vérifications ;
3. Check : Révision et évaluation de la performance (efficacité et efficience) du
SMSI ;
4. Act (ou Adjust): Modifications, si nécessaires, afin que la performance du
SMSI soit optimale.
L’ISO/IEC 27001:2005 est une norme reposant sur les risques liés à la sécurité de
l’information, ce qui signifie que les entreprises doivent mettre en place un processus
de gestion des risques. Ce dernier s’insère dans le modèle PDCA décrit au-dessus.
Cependant la dernière norme l’ISO/IEC 27001:2013 ne s’appuie plus sur l’approche
de la roue de Deming. Les sociétés peuvent désormais choisir le processus de
gestion des risques qui leur convient.

Les SMSI les plus répandus pour la certification de la sécurité informatique sont
les critères communs (Common criteria en anglais), normes internationales, et ses
prédécesseurs Information Technology Security Evaluation Criteria et Trusted
Computer System Evaluation Criteria.

D’autres dispositifs comme COBIT et ITIL s’intéressent aux questions de sécurité

mais se concentrent plus sur la création d’un cadre gouvernant.

Le tableau ci-dessous illustre la comparaison des structures de certification des

SMSI les plus répandus :

Critères
BS 7799 Critères communs d’évaluation de la
sécurité d’un SI
Zone
Angleterre Environ 25 pays Pays Européens
d’utilisation

 6 phases de
gestion
 3 parties
 11 domaines de
Structure de  11 Exigences de
sécurité  4 Phases
base sécurité
 139 objectifs de  6 Niveaux
 8 Exigences
vérification
d’assurance
 133 contrôles
de sécurité
1. PP/ST
1. Définir la
introduction
politique
2. Revendications
2. Définir le
de conformité
périmètre
3. Définition du
3. Évaluer le 1. Besoins
problème de
risque
sécurité 2. Conception
4. Contrôler le architecturale
4. Objectifs de
Processus risque
sécurité 3. Conception
de gestion 5. Choisir les
5. Définition des détaillée
commandes
composantes 4. Mise en
à mettre en
étendues œuvre
place et les
6. Besoins de
appliquer
sécurité
6. Exprimer
7. Spécification
leur
globale de
applicabilité
la TOE
Différence
Accent mis sur la Accent mis sur la Accent mis sur la
de
sécurité de gestion sécurité technique sécurité de gestion
processus
Fournir un ensemble
Fournir le meilleur Fournir un ensemble
commun d’exigences
Specification code de pratique commun d’exigences
pour la sécurité
Control pour la gestion de pour la sécurité
fonctionnelle des
Point la sécurité de fonctionnelle des
produits
l'information produits informatiques
informatiques
Suivre chaque Suivre chaque
Évaluation
Utiliser le modèle procédure procédure
de la
PDCA d'évaluation de la d'évaluation de la
méthode
certification certification
Il existe un grand nombre d’initiatives focalisées sur les questions autour de la
sécurité de la gouvernance et de l’organisation. Il s’agit de problèmes d’affaires et
d’organisations et non uniquement de problèmes techniques.

• L’information fédérale, loi sur la sécurité de gestion 2002 (Federal Information

Security Management Act of 2002) est une loi fédérale des États-Unis promulguée
en 2002 qui reconnait l’importance de la sécurité de l’information économique. Cette
loi requiert que chaque agence publique développe, commente et mette en place un
programme inter-agence afin de fournir une sécurité de l’information.

• Governing for Enterprise Security Implementation Guide [6] of the Carnegie Mellon
University Software Engineering Institute CERT a pour but d’aider la direction
générale des entreprises à mettre en place un programme efficace afin de gouverner
leurs systèmes d’information et de protéger l’information.

• Le Capability Maturity Model (CMM) est un modèle de référence pour la sécurité

d’un système d’information qui a été standardisé dans la norme ISO/IEC 21827.

• L’Information Security Management Maturity Model (aussi appelé ISM-cubed or

ISM3) est une autre forme de l’ISMS. L’ISM3 a été conçu et basé sur des standards
tels que l’ISO 20000, l’ISO 9001, CMM, l’ISO/l’IEC 27001 ainsi que des concepts de
sécurité. L’IMS3 peut également être utilisé en tant que modèle pour un ISMS
conforme à l’ISO 9001. Alors que l’ISO/IEC 27001 est basé sur le contrôle, l’ISM3 est
quant à lui basé sur les processus et inclut des mesures de processus. L’IMS3 est
devenu un standard pour la sécurité de gestion. La différence entre l’ISM3 et
ISO/IEC 21827 est la suivante : l’ISM3 se focalise sur la gestion alors que l'ISO/IEC
21827 se concentre sur l’ingénierie.

Besoin d'un SMSI

[modifier | modifier le code]
Les experts en matière de sécurité disent que :

 Les administrateurs de sécurité de la technologie de l’information doivent

consacrer un tiers de leur temps à aborder les aspects techniques. Le temps
restant doit être consacré notamment : au développement de politiques et de
processus, à faire le point sur la sécurité, à analyser les risques associés, à
élaborer des plans d’urgence, à la sensibilisation aux problèmes liés à la sécurité.
 La sécurité dépend plus des personnes que de la technologie.
 Les employés sont des menaces plus importantes que les personnes extérieures
à l’entreprise.
 La sécurité peut être comparée à une chaîne. Elle est aussi résistante que le
maillon le plus faible.
 Le degré de sécurité dépend de trois facteurs : le risque que vous êtes prêts à
prendre, la fonctionnalité du système et le prix que vous êtes prêts à payer.
 La sécurité n’est pas un statut ou une image mais un processus continu.
Ces faits mènent inévitablement à la conclusion suivante : la gestion de la sécurité
n’est pas seulement un problème technique.

L’établissement et le maintien des mises à jour continuelles d’un système de gestion

de la sécurité de l’information indiquent qu’une entreprise utilise une approche
systématique afin d’identifier, d’évaluer et de gérer les risques. Les facteurs
critiques d’un SMSI :

 La confidentialité : protéger l’information des parties non concernées.

 L’intégrité : empêcher la modification de l’information par les personnes qui n’y
ont pas accès.
 La disponibilité : rendre l’information disponible aux personnes autorisées à y
accéder.
Ces facteurs auront des implications par la suite pour :

 La continuité de l’activité
 Minimiser les pertes et les dégâts
 Une meilleure compétitivité
 Une meilleure rentabilité et une rentrée des cash-flows
 Une image respectée par autrui
 Une conformité légale
L’objectif premier de la gestion de la sécurité de l’information est de mettre en œuvre
les mesures adéquates afin de réduire voire éliminer l’impact que les menaces
pourraient avoir sur l’organisation. Ainsi, la gestion de la sécurité de l’information
permettra la mise en avant des caractéristiques qualitatives des services proposés
par l’organisation (la confidentialité, l’intégrité). En minimisant l’impact des incidents,
le SMSI assure la continuité de l’activité, la confiance du client, la protection des
investissements et des opportunités ou encore la réduction des dégâts auxquels
l’entreprise est confrontée.

Les entreprises de taille importante, les banques et les instituts financiers, les
opérateurs téléphoniques, les hôpitaux et les instituts publics ou gouvernementaux
ont diverses motivations pour prendre au sérieux la question de la sécurité de
l’information. En effet, les exigences légales qui visent la protection des informations
personnelles ou sensibles ainsi que les exigences en matière de la protection des
citoyens poussent les entreprises à faire de la sécurité de l’information leur priorité.

Compte tenu des circonstances, le développement et la mise en œuvre d’un

processus de gestion indépendant est la seule solution. Le développement d’un
SMSI basé sur l’ISO/IEC 27001:2005 entraîne les six étapes suivantes :

1. Définition de la politique de sécurité

2. Définition du périmètre du SMSI
3. Évaluation des risques
4. Gestion des risques
5. Sélection des méthodes de vérification appropriées
6. Application
Facteurs clés de réussite pour un SMSI
[modifier | modifier le code]
Pour être efficace, un système de gestion de la sécurité informatique doit :

 Avoir le soutien continu, ferme et visible ainsi que l’engagement de la direction

générale de l’organisation ;
 Être centralisé sur une stratégie et une politique commune à travers l’organisation
entière ;
 Être une partie intégrante du management global de l’organisation et refléter
l’approche de l’organisation en termes de gestion des risques, des objectifs de
contrôle, des contrôles et du degré d’assurance exigé ;
 Avoir des objectifs de sécurité et des activités qui reposent sur les objectifs et
exigences de l’entreprise et qui sont menés par la gestion de l’entreprise ;
 Entreprendre seulement les tâches nécessaires en évitant le sur-contrôle et le
gaspillage des ressources de valeur ;
 Être en totale conformité avec la philosophie et l’état d’esprit de l’organisation en
fournissant un système qui, au lieu d’empêcher les employés de faire ce qu’ils ont
à faire, leur permettrait d’exercer leurs activités dans le contrôle et de démontrer
l’accomplissement de leurs responsabilités ;
 Être basé sur une formation continue et un savoir du personnel afin d’éviter
l’utilisation de mesures disciplinaires ou encore de procédures militaires ;
 Être un processus continu.
Problèmes récurrents
[modifier | modifier le code]
Il y a trois grands problèmes qui mènent à l’incertitude en gestion de la sécurité de
l’information

 Changements continus des besoins en matière de sécurité

L’évolution rapide de la technologie entraîne de nouvelles inquiétudes en ce qui
concerne la sécurité pour les entreprises. Les mesures de sécurité actuelles et les
exigences deviennent obsolètes lorsque de nouvelles vulnérabilités apparaissent
avec le perfectionnement de la technologie. Afin de surmonter ces difficultés, le
SMSI doit organiser et gérer les changements et garder le système à jour.

 Externalités provoquées par un système de sécurité

L’externalité caractérise le fait qu'un agent économique crée par son activité un effet
externe en procurant à autrui, sans contrepartie monétaire, une utilité ou un
avantage de façon gratuite, ou au contraire une non utilité, un dommage sans
compensation. Le SMSI utilisé dans une organisation peut provoquer des
externalités pour d’autres systèmes en interaction. Ces dernières sont incertaines et
ne peuvent être évaluées qu’une fois le système en place.

 Obsolescence de l'évaluation des inquiétudes

La méthode d’évaluation des inquiétudes utilisée dans les SMSI devient obsolète
lorsque la technologie progresse et de nouvelles menaces font surface. Afin de
maintenir un système efficace, il est essentiel d’évaluer la sécurité de l’organisation
continuellement.

Voir aussi