Les huit piliers d’un SMSI

Pilier 1 : la gouvernance
Il s’agit de dire qui fait quoi : qui est la MOA (celui qui définit le besoin, arbitre sur les orientations et finance), avec le corollaire des instances projet (directeur MOA, chef de projet MOA, instance tactique et instance opérationnelle). Si ce sujet n’est pas réglé, rédigé et diffusé, ce n’est même pas la peine de poursuivre.

Pilier 2 : le corpus documentaire
Tout SMSI s’appuie sur un socle de documents politiques (la PSSI par exemple) et techniques (gestion des sauvegardes, des mots de passe, etc.). Ce corpus documentaire doit être listé, tenu à jour, régulièrement révisé, et chaque document doit posséder un propriétaire.

Pilier 3 : le système de gestion documentaire
Aussi bête qu’il y paraisse, les documents de l’ensemble du SMSI (et pas seulement ceux du pilier 2) doivent être stockés dans une GED unique et accessible avec des règles classiques de droit, de circuit de validation, etc.

Pilier 4 : l’appréciation des risques
Avant de protéger un SI, encore faut-il savoir contre quoi. L’appréciation peut être faite avec une méthode formelle ou avec un simple fichier Excel sur un coin de table, mais il en faut une. L’expérience montre que l’on découvre rarement des risques nouveaux à l’occasion de la rédaction de ce document, mais on met tout le monde d’accord sur la cartographie des risques, chiffrée et hiérarchisée.

Pilier 5 : le système d’audits et de contrôles
En termes de vocabulaire, les contrôles portent la plupart du temps sur des points précis (vulnérabilités Web, système de sauvegarde, etc.), alors que l’audit interne s’attache au fonctionnement du SMSI lui-même (c’est un peu « méta », mais c’est une exigence salutaire). Ces audits et ces contrôles doivent être planifiés sur trois ans. L’absence de ce pilier constitue une non-conformité majeure.

Pilier 6 : le système de gestion des incidents
Il s’agit d’un workflow général : système de déclaration, back-office de traitement, statistiques, etc.

Pilier 7 : le système d’indicateurs
Tout le SMSI se pilote, entre autres, par des indicateurs : taux de révision du socle documentaire, complétude des sauvegardes ; on n’a de limites que son imagination et les moyens de les maintenir.

Pilier 8 : le plan de formation
Tous les acteurs et parties prenantes d’un SMSI doivent être formés, à des degrés divers : on ne forme pas de la même manière une direction générale, des fournisseurs externes ou internes, des utilisateurs, des informaticiens. Mais il faut un plan de formation sur trois ans, qui alimente, entre autres, les indicateurs.

Il n’y a rien de complexe à mettre en œuvre dans ces huit piliers : généralement, de l’huile de coude et du bon sens suffisent – les établissements qui ont franchi le cap d’une certification ISO 27001 sont d’ailleurs souvent étonnés après coup de la simplicité du dispositif. L’enjeu est la maturité de l’organisation : focaliser sur deux ou trois piliers et se dispenser d’une approche globale est la meilleure méthode pour faire du surplace. Les auditeurs ISO qui viennent examiner le dispositif sont d’ailleurs redoutables : ne pas être parfait sur l’un de ces piliers ne constitue pas une non-conformité majeure puisque l’organisation doit s’inscrire dans une démarche d’amélioration continue, mais ne pas les avoir tous ciblés est rédhibitoire.