Dans le chapitre précédent, vous avez compris pourquoi il était important de revoir de manière régulière la PSSI, afin de l’améliorer de manière constante et continue. Dans ce chapitre, je vous invite à voir que cette démarche s’inscrit dans un périmètre plus global d’amélioration continue de la sécurité de l’information, grâce à la mise en place d’un système de management de la sécurité de l’information (SMSI).
Qu’est qu’un SMSI ?
Un SMSI est avant tout un système de management. Pour paraphraser la norme ISO 9000, je dirais qu’un système de management permet d'établir une politique, de fixer des objectifs et de les atteindre. En d’autres termes, il s’agit de mettre en œuvre des actions (techniques, organisationnelles) pour atteindre un objectif fixé.
Les systèmes de management dépassent largement le cadre de la SSI : les plus connus d’entre eux sont actifs dans le domaine de la qualité (norme ISO 9001) ou de l’environnement (norme 14001). Toutefois, les idées directrices sous-jacentes sont invariantes :
la mise en place de bonnes pratiques et d’un retour d’expérience vise à améliorer l’application des procédures ;
la concrétisation formelle des documents de politique et des processus (comme la PSSI) favorise les vérifications et les certifications.
Ensuite, un SMSI, c’est évident, concerne la sécurité de l'information ! Vous connaissez maintenant bien ce qui se cache derrière ces termes. Je ne développerai donc ce point davantage, qu’en rappelant qu’il s’agit d’assurer la confidentialité, l’intégrité, la disponibilité et la traçabilité de l’information au sens large !
Au final, un SMSI peut se définir comme un jeu d’outils, de documents et de méthodes, qui vise à fixer et à appliquer une politique de sécurité de l’information adaptée au besoin d’une entreprise.
La mise en place d’un SMSI paraît séduisante. Toutefois, concrètement, comment en conduit-on la mise en place ?
Comment le mettre en place ?
Très concrètement, la mise en place d’un SMSI opérationnel est exposée dans la norme ISO 27001 et repose sur les principes chers au domaine de la qualité. La démarche, connue sous l’abréviation PDCA, ou principe de la roue de Deming, vise une amélioration continue du système par le déploiement de 4 phases :
Plan : dans un domaine particulier, on planifie les actions à mettre en oeuvre. C’est ce que vous avez fait lors de l’élaboration de la PSSI.
Do : la phase suivante consiste à passer à l’action, c’est la phase opérationnelle qui permet d’avancer vers la cible fixée précédemment.
Check : cette étape consiste à évaluer les écarts entre les 2 premières phases.
Act : cette phase permet de combler les écarts par des actions correctives.
Le schéma suivant permet de bien en cerner le périmètre :
Voyons ces étapes en détail pour le domaine de la sécurité des systèmes d’information !
Les 4 phases de la démarche PDCA selon la norme 27001
Phase 1 : Plan
L’objectif de cette première étape est de poser les bases d’un SMSI opérationnel. Si on se réfère au document de référence (la norme ISO 27001), il s’agit de :
définir la politique et et de cadrer le périmètre du SMSI ;
apprécier les risques et leur traitement des risques ;
choisir les mesures de sécurité adéquates pour maîtriser les risques.
Vous l’aurez deviné, ces étapes correspondent aux premiers pas de l’élaboration de la PSSI, comme nous l'avons vu dans la partie 2 ! En fait, la mise en place d’un SMSI est initiée par un document qui cadre la politique.
Comme nous l’avons vu dans la partie 2, dans cette phase, le rôle du RSSI est une place de maître d’ouvrage.
Phase 2 : Do
Globalement, l'objectif de cette étape est la mise en place de mesures évoquées dans la phase précédente. Il s’agit de déployer la sécurité de manière opérationnelle.
Vous l’avez déjà certainement compris, sans surprise, la phase 2 de mise en place d’un SMSI reprend les grandes lignes du plan d’action sécurité de la PSSI. Néanmoins, la mise en place d’un SMSI, au sens de la norme ISO 27001, élargit le périmètre d’application en complétant le plan d’action :
tout d’abord, des indicateurs clés de performances ou de pilotage sont attachés à chaque mesure, afin d’évaluer leur efficacité et leur conformité. Ce processus n’est pas aisé. Toutefois, la norme ISO 27004 propose une méthodologie pour guider leur élaboration ;
ensuite, la norme 27001 préconise d’inscrire dans le marbre une formation de sensibilisation des personnels de l’entreprise aux enjeux de la SSI. Cela tombe bien, il s’agit d’un des thèmes abordés dans la PSSI !
Phase 3 : Check
Cette étape est la phase centrale de la démarche PDCA. Elle vise à mettre en œuvre les moyens nécessaires pour mesurer la conformité des exigences de sécurité avec le cahier des charges de référence que constitue la norme ISO 270001.
Concrètement, pour mesurer les écarts entre les mesures prises et le niveau de référence, le RSSI peut réaliser (ou proposer de réaliser) :
Des audits internes planifiés à l’avance ou des contrôles inopinés. Leur objectif est de déterminer, grâce aux indicateurs précédents, l’écart entre la norme et le SMSI mis en place. Pour les réaliser, le RSSI peut procéder en 3 étapes :
Mettre en place une procédure de feedback (on parle aussi de retour d’expérience ou de lessons learned) qui permet à chaque responsable de faire part des changements dans son périmètre.
Évaluer les impacts sur la version actuelle de la PSSI.
Animer une réunion de direction pour entériner les changements.
Des audits de maturité du SI qui visent à déterminer les enjeux liés au système d'information de l’organisme, de mesurer l'écart entre ce qui devrait être fait et ce qui est fait, et d'expliquer les actions à mettre en œuvre pour gérer la SSI de manière adéquate. L’ANSSI propose d’ailleurs un guide méthodologique pour les réaliser. L’ISO 27002 peut également constituer une base solide.
Des campagnes de tests d’intrusion ou des revues de code.
N’oubliez pas que la PSSI a été déclinée en un plan d’action pour sa mise en œuvre. Il convient donc également de mettre à jour cette méthodologie de mise en place. Deux scénarios sont possibles : si l'urgence le justifie, on peut le faire sur-le-champ. Sinon, à la prochaine échéance de revisite.
Dans ce contexte, le RSSI peut avantageusement compléter les outils nécessaires, grâce à l’élaboration et à la mise à jour d’un tableau de bord SSI au profit de l’équipe dirigeante.
Le tableau de bord peut également servir dans les phases d’audit pour mesurer le niveau de la prise en compte de la SSI.
L'ANSSI en propose une méthodologie d’élaboration. En parallèle de la démarche de mise en place, ce document propose des indicateurs de différents niveaux :
stratégique (état d’avancement de la mise en place de la PSSI, par exemple) ;
fonctionnel (suivi des audits, avancement de la sécurisation des réseaux, par exemple) ;
et opérationnel (identification des incidents, suivi des formations de sensibilisation du personnel).
Phase 4 : Act
Cette dernière phase vise à mettre en place les actions correctrices, préventives ou d’amélioration pour réduire les dysfonctionnements relevés dans la phase précédente. Il faut garder en tête que cette démarche en 4 phases vise une amélioration continue du SMSI, pour tendre vers une conformité maximale aux textes de référence.
Et le cycle continue...
Cette première itération du cycle PDCA vous a amené à planifier la mise en oeuvre d’exigences et de mesures de sécurité (phase Plan). Ces exigences ont été mises en place dans la phase Do avec l’utilisation d’un plan d’action sécurité. Elles ont apporté un premier niveau de sécurité. Après avoir instauré ces premières mesures, vous en évaluez l’application effective dans la phase Check en mesurant les écarts encore à combler pour atteindre la cible fixée. Enfin, ces écarts sont réduits grâce à des actions correctrices, dont l’objectif final est bien de réduire les risques sur le SI et d’atteindre un niveau supérieur de sécurisation (Phase Act).
Vous l’avez certainement compris, ces nouvelles données modifient la maturité du SI en termes de sécurité, et doivent donc être prises en compte dans une nouvelle itération. C’est ainsi qu’un nouveau cycle recommence pour une nouvelle itération. L'objectif est d’améliorer la maturité du système de manière continue et permanente.
Lors de la lecture de ce chapitre, vous avez appris ce qu’est un SMSI, comment il doit être mis en place (grâce à la norme ISO 27001) et comment il vise une amélioration continue de la sécurité, par la mise en œuvre de l'approche PDCA.
Ce chapitre sur le SMSI clôt le cours sur l’élaboration de la politique SSI de votre entreprise.
En résumé :
un SMSI est un ensemble d’outils (comme le tableau de bord), de documents (comme la PSSI) et de méthodes (comme la démarche PDCA) qui vise à fixer et à appliquer une politique de sécurité de l’information adaptée au besoin d’une entreprise ;
il permet à l’entreprise de fixer les objectifs, de les atteindre et, finalement, d’évaluer leur effet dans un objectif d’amélioration constante ;
pour le mettre en œuvre, la norme ISO 27001 préconise une approche qualité basée sur une démarche (Plan - Do - Check - Act) d’amélioration continue.
Un dernier mot
Vous êtes désormais capable de réaliser les analyses nécessaires pour cadrer le contexte, évaluer les risques qui pèsent sur le SI de l’entreprise, et d’en formaliser les mesures de mitigation. Vous avez également appris à mettre en œuvre une amélioration continue de la PSSI en fonction de l’évolution des activités de votre entreprise, ou du contexte réglementaire dans lequel elle évolue. Cette démarche d’amélioration continue s’inscrit plus globalement dans la mise en œuvre d’un système de management de la sécurité de l’information, dont le fonctionnement est décrit dans la norme ISO 27001.
J’ai été ravi de partager mon expérience dans ce domaine avec les futurs managers ou responsables SSI que vous êtes sur le point de devenir. Je vous souhaite de vous épanouir dans ce domaine passionnant !