Produit Solution Références Ressources À propos Se connecter Demander une démo

FRAUDE AU VIREMENT DIGITALISATION FINANCE CYBERSÉCURITÉ DATA MANAGEMENT PAROLE D’EXPERTS PARTENAIRES ETRechercher
ÉCOSYSTÈME CONFORMITÉ FINANCE

 Qu’est-ce que le SMSI ?

CONFORMITÉ FINANCE
 Le SMSI : une optimisation

Le SMSI : comment gérer la sécurité

continue de la sécurité de
 l’information

de l’information dans l’entreprise ? Quels sont les domaines du

contrôle de sécurité du
SMSI ?
Publié le 13 septembre, 2021 5 min

À l’heure de la transformation numérique, la donnée est devenue un

incontournable des entreprises : sur les activités,  les fournisseurs ou même les
informations commerciales sensibles, ce sont là autant de données à sécuriser.
C’est ce que désignent la sécurité de l’information et sa traduction dans
l’entreprise : le SMSI, pour  Système de Management de la Sécurité de
l’Information. Découvrez en quoi il consiste, comment il est mis en place et quel
est son champ d’application.
Qu’est-ce que le SMSI ?
Le SMSI désigne un ensemble de politiques et de processus visant à gérer la
sécurité et à atténuer les risques, particulièrement pour la sécurité de
l’information. Il s’agit d’un cadre global concernant, sinon l’ensemble, du moins la
majorité des services de l’entreprise : il n’est pas qu’une question informatique,
mais impacte également de nombreux autres processus, comme le respect des
normes comptables. 
Un SMSI doit être en conformité avec des normes connues, comme les common
criteria ou la plus connue, la norme ISO 27 001 (officiellement ISO/IEC 27 001), qui
« spécifie les exigences relatives aux systèmes de management de la sécurité des
informations » (source). Elle n’impose pas de mesures spécifiques, mais donne les
lignes directrices à adopter pour le développement d’un SMSI.
Dans son approche, le SMSI cherche à établir un compromis équilibré entre, d’une
part, le risque encouru et, d’autre part, l’atténuation de ce même risque. Il s’agit
d’apporter une réponse proportionnelle : la gestion des actifs, par exemple,
implique l’échange de données sensibles et doit donc faire l’objet de processus
renforcés.
D’ailleurs, certains secteurs lourdement réglementés requièrent un large éventail
de protocoles et de stratégies d’atténuation des risques ; c’est le cas de la santé
et de la finance, par exemple.
On le comprend le SMSI répond aux menaces internes et externes lesquelles
On le comprend, le SMSI répond aux menaces internes et externes, lesquelles
sont enProduit
constante évolution. Références
Solution Dans cette perspective,
Ressources le système
À proposdoit lui aussiSe
êtreconnecter Demander une démo
constamment optimisé.
Le SMSI : une optimisation continue de la
sécurité de l’information
Avec plus de 450 000 nouveaux malwares créés chaque jour, les enjeux de
sécurité sont sans cesse renouvelés : le SMSI ne doit pas être une création
unique, mais au contraire se montrer dynamique. Il doit en ce sens évoluer et
améliorer ses processus pour faire face aux nouveaux risques (comme les
cybermenaces sans cesse renforcées face aux protocoles de sécurité déployés),
en prenant également en compte les changements dans l’organisation (culture
d’entreprise, ressources, etc.).
Puisqu’il constitue un cadre global de sécurité, le SMSI requiert souvent un temps
d’accompagnement auprès des collaborateurs : ils doivent être initiés aux risques
et déployer les protocoles prévus par le SMSI. Le défi est d’autant plus coriace
que l’entreprise et ses effectifs doivent constamment s’adapter aux nouvelles
évolutions du système.
Le Plan-Do-Check-Act pour optimiser le SMSI en
continu
Ainsi, afin d’être mis en œuvre, le SMSI suit un modèle Plan-Do-Check-Act (PDCA)
:
Planifier (Plan) : vous collectez toutes les informations nécessaires à
l’identification des failles et l’évaluation des risques. Sur cette base, vous
définissez un ensemble de politiques et de processus, puis établissez des
méthodes pour vous assurer de l’optimisation continue du SMSI.
Faire (Do) : vous appliquez les politiques déterminées en suivant la norme
ISO 27001 et les ressources qu’a votre entreprise.
Vérifier (Check) : vous menez une veille de l’efficacité des processus et
évaluez les résultats.
Agir (Act) : vous améliorez les processus existants, en éliminez ou en
construisez de nouveaux grâce à ces retours.
Le PCDA est un modèle global qui doit être décliné dans l’ensemble des domaines
couverts par le SMSI.

Quels sont les domaines du contrôle de sécurité

du SMSI ?
Les champs d’application du SMSI sont définis, là aussi, par la norme ISO 27001 ;
nous les détaillons ci-dessous.
Politiques et organisation de la sécurité de
l’information
C’est le volet le plus important de la norme : on définit une orientation de
politique générale, sur la base de l’entreprise, de ses activités, de son évolution et
de ses besoins de sécurité. L’organisation peut ainsi diminuer les risques liés au
réseau de l’entreprise, à savoir les cybermenaces internes comme externes ainsi
que les potentiels dysfonctionnements du système.
Les processus de l’entreprise
LesProduit
processus deRéférences
l’entreprise Se connecter Demander une démo
Ce sont les volets les plus nombreux du contrôle de sécuritéÀ propos
Solution Ressources
du SMSI :
Gestion des communications et des opérations. L’ensemble des systèmes et
processus doivent être en accord avec le SMSI ; il en va de même pour toutes les
opérations courantes, comme la fourniture de services.
Gestion des actifs. Cela couvre les actifs organisationnels et donc l’échange
d’informations commerciales sensibles.
Sécurité physique et environnementale. Le matériel informatique doit être
protégé contre les dommages et pertes et cela s’étend d’ailleurs aux réseaux
cloud sécurisés situés en-dehors du site de l’organisation.
Continuité de l’activité. L’entreprise doit faire preuve de résilience et l’activité,
si elle est interrompue, doit reprendre au plus vite. C’est par exemple ce que l’on
retrouve pour les « opérateurs de services essentiels » dans le cadre de la
directive NIS.
Délimitation des droits d’accès. Il s’agit de définir les rôles et responsabilités
des collaborateurs et des informations auxquelles ils peuvent accéder, tant sur les
supports physiques qu’informatiques. Le SMSI surveille le réseau et détecte les
actions irrégulières.
Cryptographie. Pour la protection des données sensibles, la cryptographie est
souvent utilisée, mais elle n’est pas invulnérable. Le SMSI formalise donc les
processus cryptographiques et indique comment ils doivent être gérés.
Sécurité des collaborateurs et des tiers
Il s’agit, enfin, de se concentrer sur les personnes : 
Sécurité des ressources humaines. On se concentre ici sur les effectifs et
leurs activités. L’objectif est d’abord d’identifier les erreurs humaines et d’adopter
des mesures de formation pour diminuer les manquements involontaires à la
sécurité. Enfin, il s’agit également de réduire le risque de menace interne.
Relations avec les fournisseurs. Ceux-ci peuvent requérir des accès au
réseau et à des données sensibles, et s’il n’est certes pas possible d’appliquer les
mêmes protocoles de sécurité à tous, il faut mener des contrôles adéquats pour
atténuer les risques. Cela peut passer, par exemple, par des mesures de sécurité
informatique et des obligations contractuelles avec les tiers.
Les domaines peuvent bien sûr connaître des variations selon l’organisation, mais
l’exhaustivité du SMSI donne une approche globale de la sécurité de l’information.
Le SMSI présente donc des atouts face aux cybermenaces et
dysfonctionnements du réseau, mais n’adresse toutefois pas d’autres risques
prégnants eux aussi, comme celui de la fraude (arnaque au FOVI, fraude au faux
fournisseur, etc.). En plus du SMSI, il est donc intéressant pour votre entreprise
de s’équiper d’une solution anti-fraude, comme le SaaS Trustpair. Le logiciel
mène une veille automatique et continue de la base tiers et détecte toute
anomalie ou tentative de fraude.

POINTS À RETENIR:
Un SMSI est un système de management permettant de définir des actions
(techniques, organisationnelles) pour atteindre un objectif fixé.
Ce modèle contribue à la gestion de la sécurité au sein de l’organisation, tout
en atténuant les risques, en particulier sur la thématique de la sécurité de
l’information.
Le SMSI suit un modèle Plan-Do-Check-Act. Soit, un processus en quatre
temps: Collecte des informations, Application des politiques déterminées, Veille,
 Amélioration.
Il permet
Produit uneSolution
accentuationRéférences
sur la sécuritéRessources
des ressourcesÀ humaines
propos et des Se connecter Demander une démo
relations avec ses fournisseurs.
Une solution de gestion unique comme Trustpair vous permet de gérer les
risques de manière proactive. En savoir plus.

La Newsletter Trustpair E-mail Je m’abonne

Inscrivez-vous à la Newsletter Trustpair et recevez
chaque semaine des conseils…

Articles liés
Le sujet vous intéresse ? Retrouvez l’ensemble
des contenus autour de cette thématique.

CONFORMITÉ FINANCE CYBERSÉCURITÉ CONFORMITÉ FINANCE

ique : une Devoir de vigilance : quelles Quel est le rôle du Directeur des Le contrôle intern
en plus obligations en entreprise ? Systèmes Informatiques ? de quoi s’agit-il e
5 min Lire l'article 6 min Lire l'article 3 min Lire l'article

Solutions Produits Connecteurs et intégration

Votre meilleur allié pour lutter Protection fraude au virement Contrôle des RIB Plateforme SaaS
contre la fraude Digitalisation des processus Audit du référentiel tiers API Trustpair
Nettoyage de la base tiers Vérification des paiements Connecteur SAP
Trustpair Conformité des contrôles des tiers
174 quai de Jemmapes
75010 paris Solution par métier ?
contact@trustpair.fr
+33 1 84 88 87 23
A propos Ressources
 Notre mission Témoignages clients
Produit Solution
Espace PresseRéférences RessourcesLivres blancs
À propos Se connecter Demander une démo
On recrute Webinars et Evénements
Demander une démo Podcasts
Devenir Partenaire Blog

La newsletter Trustpair E-mail Je m’abonne

Mentions légales - Charte de confidentialité