INTRODUCTION

L’information, sa gestion et sa sécurité sont aujourd’hui plus que jamais des

enjeux de management à part entière. Comme l’exprime Jérôme Denis ,
l’informatique et sa sécurité impliquent un paradoxe qui consiste en un
développement sans précédent de l’efficacité mais aussi de la fragilité technique
des organisations. Les technologies de communication et systèmes d’information
sont à la fois l’occasion de démultiplier la circulation d’informations dans une
entreprise comme source d’avantage concurrentiel mais elles peuvent aussi la
rendre vulnérable à certaines menaces. Les pratiques de management doivent
désormais évoluer pour intégrer au niveau de la gouvernance même de l’entreprise
la préoccupation d’une sécurisation de l’information de l’entreprise qui constitue
un actif (immatériel) à part entière. Ces dernières sont un enjeu de management car
elles impliquent des risques et un régime de fragilit é permanente pour l’entreprise,
pouvant impacter la qualité des biens et services fournis (notamment dans les
délais de livraison, dans la fiabilité des informations fournies). Dans un monde
interconnecté, l’information et les processus, les systèmes, les réseaux qui s’y
rapportent constituent des actifs critiques de l’organisation. Les organisations et
leurs systèmes et réseaux d’informations sont confrontés à des menaces pour la
sécurité ayant de multiples sources, notamment la fraude assistée par ordinat eur,
l’espionnage, le sabotage, le vandalisme, les incendies et les inondations. Les
dommages causés aux systèmes et aux réseaux d’information par des programmes
malveillants, le piratage informatique et les attaques par saturation deviennent plus
courants, plus ambitieux et de plus en plus sophistiqués.

Face à cela, la norme ISO/IEC 27001 :2013 « Techniques de sécurité – Systèmes de

gestion de la sécurité de l'information » a comme objectif de répondre à cet enjeu
de management en envisageant la sécurité d e l’information comme un projet
transverse. Si l’objectif de la norme est d’aller vers la certification, celle -ci a bien
pour enjeu un enrichissement des pratiques et l’établissement d’un management
actif de la sécurité des systèmes d’information. Lequel, itératif, se doit d’intégrer
les différentes parties prenantes de l’organisation à la fois dans une logique
hiérarchique (Top Down-Bottom Up) mais aussi dans un axe transverse, en lien
avec les processus de l’organisation.

La norme ISO/IEC 27001 :2013 est, à la base, issue de la série des normes

ISO 27000. Cette norme décrit les exigences nécessaires à la mise en œuvre du
système de management de la sécurité de l’information (SMSI).

Un projet de mise en place d’une gestion de la sécurité est nécessairement

transversal. Le service informatique ou la direction des systèmes d’information a
une activité concernant de fait plusieurs autres directions et l’enjeu de sécurisation
de l’information intègre nécessairement le lien avec les autres fonctions de la
chaîne de valeur (qu’il s’agisse des fonctions supports comme des fonctions
opérationnelles).

Le projet de sécurisation des systèmes d’information concerne encore toute

l’échelle hiérarchique de l’organisme. La réussite du projet dépend essentiellement
de l’implication de toutes les personnes concernées dans l’entreprise, de la
direction générale au plus bas de l’échelle dans une approche de type gestion
globale.

La structure de la version 2013 n’a pas de notion de PDCA explicite. Cette notion
est remplacée par une formulation du type « établir, implémenter, maintenir,
améliorer ». Il n’y a pas d'encouragement à l'approche processus dans
l'introduction, mais une approche processus de fait. Les clauses de 4 à 10 sont
obligatoires. Les parties prenantes sont prise en compte, le périmètre considère
tout le contexte, y compris les exigences. Le leadership est plus axé engagement,
pilotage et management des personnes que « mise en œuvre ». La politique inclut
un engagement de la direction. Une réelle analyse des risques, en intégrant les
notions de risques et opportunités projet, l’appréciation des risques est moins
cadrée par la norme. Il y a une sensibilisation précise, qui fait l’objet d’un
paragraphe entier. En outre il n’y a pas d’indication sur la périodicité de la revue
de direction ni de l’audit, de même pas de notion d’action préventive au sens de la
version 2005.

Cet article traite de la norme ISO/IEC 27001 ainsi que de la mise en œuvre et la
gestion d’un SMSI.

1. ISO 27001 ET SMSI

Historique de la norme ISO 27001 :2013

À l’origine, la norme remonte à 2005, avec l’adoption par l’ISO d’une version améliorée de la
norme anglo-saxonne BS 7799-2 :2002 « Technologie de l’information – Guide pratique pour
le management de la sécurité de l’information ».
Cette dernière reprend et complète l’ISO/IEC 17799 (guide incluant des recommandations
pour la sécurisation des informations de l’entreprise) en intégrant la notion de système de
management de la sécurité de l'information (SMSI).

1.1 Système de management SMSI

1.1.1 Définition du système de management

Le SMSI (système de management de la sécurité de l'information) en tant que dispositif
global gère et coordonne la manière dont la sécurité de l’information est mise en place. Le
SMSI est défini pour un périmètre bien déterminé (une application, un service, une
organisation, un processus, un métier, un centre de production…). Le choix du périmètre dans
la mise en œuvre du SMSI est un élément clé de sa réussite. Un périmètre mal défini et le
projet de mise en place du SMSI ne prendra jamais fin ou sera stoppé avant sa phase finale.
La norme ISO/IEC 27001 porte sur la mise en place d’un SMSI. Son objectif concerne
prioritairement la mise en place du système de management de la sécurité de l’information
tout en visant son efficacité.
L’implémentation d’un système de management de la sécurité est la garantie de l’adoption
de bonnes pratiques, de l’augmentation de la fiabilité et la certification par un organisme
indépendant assurera l’apport de la confiance des parties prenantes de l’entreprise (clients,
fournisseurs, actionnaires, banques, autorités…). Le passage à la certification n’est pas une
obligation mais est conseillé.