Académique Documents
Professionnel Documents
Culture Documents
Lead Implementer
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
d’un SMSI
La Mise en œuvre
CHAPITRE 2
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Programme et contenu |3
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
1. Les principes de mise en œuvre – ISO 27003,
2. Définir l’approche et la méthodologie,
3. La gestion du Changement,
4. Pour aller plus loin,
5. Définir la vision et les objectifs,
2.1 Les principes de mise en œuvre – ISO 27003 |4
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
mise en œuvre et l’implémentation
d’un SMSI,
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Obtenir l’approbation du management pour initialiser le projet de
1 mise en œuvre d’un SMSI.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
LES ACTIVITES
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
LES DOCUMENTS
Liste des
Résumé des Ebauche des
contraintes et
Objectifs du caractéristiques
des obligations
SMSI Métiers
contractuelles
Proposition de
Cas d’Affaire
Projet SMSI
Approbation du
Projet SMSI
pour
Initialisation
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
LES ACTIVITES
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
LES DOCUMENTS
Limites et
Politique SMSI
Périmètre du
Approuvée
SMSI
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
LES ACTIVITES
B
Identifier les actifs (Assets) qui seront inclus dans le périmètre du
SMSI.
C
Réaliser un audit sur la Sécurité de l’Information au sein de
l’organisme.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
LES DOCUMENTS
Classification
des Processus
et des Actifs
Compte-
Besoins et
Rendu sur
exigences en Actifs
l’état de
Sécurité de identifiés
maturité de
l’Information
l’organisation
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
LES ACTIVITES
B
Sélectionner les mesures de Sécurité et les objectifs applicables à
l’organisme.
C
Obtenir l’approbation et l’autorisation de la part de la Direction pour
mettre en œuvre un SMSI.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
LES DOCUMENTS
Liste des
Approbation
Méthodologies Mesures de Acceptation
pour
d’Audit des Sécurité et des risques
l’implémentati
Risques Objectifs Résiduels
on d’un SMSI
Applicables
Déclaration
Résultat de Plan de d’Applicabilité
l’Audit des Traitement des Incluant les
Risques Risques mesures de Sécurité
et les Objectifs
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
LES ACTIVITES
A
Définir l’organisation pour le Système de Management de Sécurité de
l’Information.
• Définir la structure de l’organisation finale,
• Définir le processus de gestion documentaire pour le SMSI,
• Définir la politique de Sécurité de l’Information,
• Développer les standards et les procédures de Sécurité de l’Information.
B
Définir les exigences physiques et en Technologie de l’Information
pour le SMSI.
C
Définir les contrôles spécifiques à inclure dans le SMSI en Sécurité de
l’Information.
• Création du Plan de Management des revues,
• Définir les besoins en formation, Informations et accompagnement.
D
Produire le Plan Final du Projet d’implémentation du SMSI dans
l’organisation.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
LES DOCUMENTS
Structure Matériels de
Politique de
Organisationnelle formation pour les Template et stockage
Sécurité de
(Rôles et sessions de des Enregistrements
l’Information
Responsabilités) sensibilisation
Plan
Standards de Sécurité Enregistrements pour d’implémentation
de l’Information, la réalisation du plan des mesures de
incluant les référentiels de
l’organisme de formation Sécurité et des
Plan final pour le
Objectifs
projet
implémentation
du SMSI
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
pour vous aider lors de l’implémentation.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Il est important de convenir d’une démarche commune et
pour se faire il est donc évident qu’au fait du lancement d’un
projet d’implémentation du SMSI, Il sera important, pour
l’organisation, de sélectionner :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Lorsque l’organisation devra choisir l’approche la plus
appropriée pour la mise en œuvre de son SMSI, plusieurs
facteurs rentreront en ligne de compte :
La maturité de l’organisation vis-à-vis de la gestion de la
qualité, des standards, des méthodes et des processus déjà
existants,
Les besoins de l’organisation, ses attentes, ses souhaits, ses
objectifs et sa vision vis-à-vis du périmètre du projet,
Le niveau d’engagement, qu’il soit de la part de la Direction
de l’organisation mais aussi de l’ensemble des acteurs, en
fonction du contexte actuel et de la situation économique
de l’organisation,
Les échéanciers et la roadmap que souhaite mettre en
œuvre l’organisation, le temps et les délais. Source : Norme ISO 27003
2.2 Définir l’approche et la méthodologie | 19
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Il existe plusieurs manières de gérer votre projet
d’implémentation. L’approche doit être choisie en fonction des
critères suivants :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Une approche traditionnelle peut être adoptée. Celle-ci exige
une période d’initialisation pour définir clairement le Plan de
Management de projet et la réalisation suit les plans définis :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
2.2 Définir l’approche et la méthodologie | 22
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Suivant les concepts et les valeurs du manifeste Agile, cette
approche sera plus souple et permettra de répondre à des
problématique complexe et chaotique pour lesquelles le
déroulement du projet est incertain et peu connu à l’avance.
Cette approche sera avant fondée sur l’adaptabilité :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
2.2 Définir l’approche et la méthodologie | 24
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Une approche hybride peut également être privilégié dans les
cas ou l’organisme souhaite adopter une approche mixte.
Ainsi, il est possible de capitaliser sur les forces de chaque
approche :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
2.2 Définir l’approche et la méthodologie | 26
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Une approche un peu différente pourrait être de considérer
l’implémentation d’un SMSI comme un programme. Cela peut
apporter de nombreux avantages non négligeables pour une
grande organisation :
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
2.2 Définir l’approche et la méthodologie | 28
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
2.2 Définir l’approche et la méthodologie | 29
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
PMI : Project Management Institute
Créé en 1969,
Méthodologie prédictive et traditionnelle à l’origine,
Illustrer par le PMBOK (Project Management Body of Knowledge)
La V6 structure la démarche au travers de 49 activités réparties en
5 processus,
La V7 est la dernière version et intègre les principes Agile pour
une démarche globale.
La Certification associée : PMP (Project Management Professional)
Dessiner et expliquer PMI
2.2 Définir l’approche et la méthodologie
| 30
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
2.2 Définir l’approche et la méthodologie | 31
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
PRINCE2 : PRoject IN Controlled Environment v2
Créé en 1975,
Méthodologie prédictive et traditionnelle à l’origine,
Illustrer par le Guide officiel « Réussir le management de projet
avec PRINCE2 » édité par Axelos.
L’édition version 6 est sortie en 2017 et définie une approche à la
fois prédictive et Agile en mixant les concepts,
Les Certifications associées : PRINCE2 Niveau Fondamental et le
niveau Praticien. Une version PRINCE2 Agile est également
disponible.
Dessiner et expliquer PRINCE2
2.2 Définir l’approche et la méthodologie
| 32
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
2.2 Définir l’approche et la méthodologie | 33
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Framework basé sur les concepts du Manifeste Agile.
Alliant les itérations (Sprint), les versions et incréments (Release
et User Stories) ainsi une forte priorisation de la valeur (Product
Backlog),
Framework conçu par Jeff Sutherland et Ken Schwaber. Ce dernier
expliquait que Scrum est simple à comprendre mais extrêmement
difficile à maîtriser. Officialisé en 2010 avec le Guide Scrum.
Ce cadre de développement utilise le concept des boites de
temps, ou Timeboxing, pour structurer le projet.
Plusieurs certifications : Scrum master, Scrum product Owner…
Dessiner et expliquer SCRUM
2.2 Définir l’approche et la méthodologie
| 34
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
2.2 Définir l’approche et la méthodologie | 35
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Une méthode de gestion de projet à la croisée des approches
traditionnelles et Agiles.
Basée sur les 4 valeurs et 12 Principes du Manifeste Agile,
Un cycle de vie complet et étendu et une gouvernance claire et
structuré avec prise en compte de la gestion des changements et
des risques,
Créée en 1995, appartient à Agile Business Consortium (ABC),
Le cœur de la méthodologie est DSDM (Dynamic Software
Development Methodology),
Les Certifications associées : AgilePM Fondamental et Praticien
Dessiner et expliquer AgilePM
2.2 Définir l’approche et la méthodologie
| 36
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
2.2 Définir l’approche et la méthodologie | 37
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Une approche en mode programme modifie et transforme la
capacité d’une organisation au lieu de se focaliser uniquement sur
la livraison d’objectifs définis.
MSP, ou Managing Successful Programmes apporte flexibilité,
adaptation et un cadre permettant de garantir un cycle de vie
large prenant en considération l’atteinte d’un état futur en
transformant la capacité de l’organisation.
Créé en 2010, MSP est aujourd’hui à la version 5,
Les certifications associées sont MSP Fondamental et Praticien.
Dessiner et expliquer MSP
2.2 Définir l’approche et la méthodologie
| 38
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
2.3 La gestion du Changement | 39
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Accompagner les collaborateurs devra être une priorité lors de
l’implémentation d’un SMSI.
2.3 La gestion du Changement | 40
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Accompagner les collaborateurs devra être une priorité lors de
l’implémentation d’un SMSI.
2.3 La gestion du Changement | 41
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Accompagner les collaborateurs devra être une priorité lors de
l’implémentation d’un SMSI.
2.3 La gestion du Changement | 42
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
2.4 Pour aller plus loin | 43
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
D’autres méthodologies Traditionnelles, Agiles ou Hybrides
existent pour gérer votre projet ou programme d’implémentation
du SMSI.
L’important est de bien définir les méthodes et cadre de référence
en fonction de vos besoins et de vos affinités. Vous devez être à
l’aide avec ceux utilisé.
L’adoption de ces méthodes est une affaire commune à votre
organisation et pas uniquement celle du Chef de projet.
N’oubliez jamais qu’une méthode est un support et non une
contrainte.
2.5 Définir la Vision et les Objectifs | 44
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
La Vision est l’essence même du projet de mise en œuvre d’un SMSI.
Cette vision doit permettre de définir les objectifs principaux et être
largement communiquer pour créer l’adhésion. Tous vers un seul
point final.
La vision doit définir l’état final désirable que l’organisation
cherche à atteindre.
Celle-ci permet de comprendre les raisons et les motivations de
l’organisation et donne un sens à la démarche globale,
Les objectifs principaux, quant à eux, sont définis en partant de
cette vision et vont définir, au-delà de la direction à prendre, les
but et résultats à atteindre.
Les objectifs peuvent être uniquement orienté vers l’atteinte de la
vision ou permettre à l’organisation d’évoluer par pallier et donc
d’atteindre des états intermédiaires.
2.5 Définir la Vision et les Objectifs | 45
La Vision
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Décrit l’état final à atteindre.
Décrit les motivations.
Donne un sens au projet.
Concise, claire et explicite.
Pas trop longue ni prophétique.
Réaliste faisant rêver.
Décrivant les bénéfices généraux.
Donnant les raisons principales.
Comprise par tous.
2.5 Définir la Vision et les Objectifs | 46
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Créer la vision est un exercice complexe qui doit être réalisé avec
beaucoup d’attention. On réunit les bonnes parties prenantes et on
travaille à définir en commun la vision. Les techniques suivantes
peuvent être de bons points de départ :
Brainstorming,
StoryBoarding / StoryMapping,
Product in a Box,
Modelling,
Design Thinking,
UX Design.
2.5 Définir la Vision et les Objectifs | 47
Communiquer la Vision
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
La vision du projet de mise en œuvre du SMSI devra être largement
communiquée au sein de l’organisation. Ainsi, il sera possible de créer
une forte adhésion et implication des collaborateurs. Plusieurs
techniques pourront être utilisé mais le pitch de l’ascenseur est ici
tout indiqué.
Simple à réaliser,
Court, précis et clair pour tous,
Quelques lignes ou quelques minutes,
Une synthèse de la vision,
Utilisable avec de nombreux médias.
2.5 Définir la Vision et les Objectifs | 48
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Découlant directement de la vision définie précédemment, les
objectifs principaux de la mise en œuvre d’un SMSI permettront de
donner la direction et les étapes nécessaires pour garantir la réussite
du projet.
Les objectifs sont SMART,
Les objectifs sont positifs et commun à tous,
Les objectifs sont suffisants mais pas trop nombreux (focaliser
sur les principaux à cette étape),
Les objectifs ne sont pas trop ambitieux et montrent le
cheminement du projet d’implémentation du SMSI.
Quizz 2 | 49
Dans le processus de mise en œuvre conforme à la norme ISO 27003, dans la 5ème étape, quel est
1 le document principal utilisé comme sortie du processus ?
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
A Le Cas d’Affaire.
D La déclaration d’applicabilité.
Il est possible de nombreuse technique pour réaliser et créer la vision du projet de mise en
3 œuvre du SMSI. Parmi les suivantes, laquelle n’est pas recommandée ?
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
A Planning poker
B Product in a Box
C Design Thinking
D Modelling
A Domain
B Domination
C Demand
D Desire
Quizz 2 | 51
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
A 47
B 49
C 35
D 5
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
A Une description exhaustive du futur résultat que le projet devra atteindre.
B Une description courte, clair et concise d’un futur désirable donnant du sens au projet.
D Une description courte faisant référence aux produits qui seront livrés par le projet.
Dans le modèle ‘Cinefin’, dans quelle situation sera-t’il recommandé d’utiliser une approche
8 Agile mais légère ?
Parmi les propositions suivantes, laquelle représente l’une des valeurs décrites dans le
9 Manifeste Agile ?
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
A Les processus et les outils avant de mettre en œuvre la collaboration avec le client.
B Les plans et les applications plus que la collaboration avec les clients.
C Les individus et leurs interactions plus que les processus et les outils.
D Les individus et leurs émotions plus que les objectifs et les résultats.
Pourquoi serait-il plus pertinent de choisir de mettre en œuvre un programme plus qu’un
10 projet ?
Pour obtenir beaucoup plus de budget auprès de la Direction de l’Organisation car les
A programmes sont plus stratégiques.
Lorsque deux Chefs de projet sont nécessaires pour réaliser le projet d’implémentation
C du SMSI.
Formation Skills4all – ISO 27001 LI – Tous droits réservés – Reproduction interdite - Copyright © 2021 Rev. 2023 v3.1
Le chapitre 2 nous a amener à savoir définir une approche adéquate pour la mise
en œuvre d’un SMSI. Identifier la bonne méthodologie et poser la vision du SMSI.