Les clés du SMSI
Par Carlos Villamizar R – Directeur des opérations de GlobalSUITE® en Colombie
Pour la mise en œuvre d’un Système de gestion de la sécurité de l’information, la norme ISO27001:2013 établit les exigences auxquelles une organisation doit se conformer pour la définition, la mise en œuvre, la révision et l’amélioration continue de la sécurité de l’information. L’objectif est de protéger de manière appropriée l’information contre les menaces qui pourraient affecter sa Confidentialité, son Intégrité et/ou sa Disponibilité. Dans ce contexte, l’information s’entend comme tout ensemble de données organisées en la possession d’une entité qui ont une valeur pour celle-ci, quelle que soit la manière dont elles sont conservées ou transmises (écrites, en images, orales, imprimées sur papier, stockées électroniquement, projetées, envoyées par courrier, fax ou e-mail, transmises lors de conversations, etc.), leur origine (de l’organisation elle-même ou de sources externes) ou leur date d’élaboration.
Selon les dernières statistiques disponibles de l’International Organization for Standardization (ISO) à la fin de l’année 2017, 39 501 entreprises dans le monde avaient été certifiées selon la norme ISO27001:2013.
Le top 10 des pays comptant le plus grand nombre d’entreprises certifiées ISO 27001 est dominé par le Japon, suivi par la Chine et le Royaume-Uni.
Source : Isotc.iso.org
|
Top 10 – Pays certifiés ISO 27001 |
||
| Position | Pays | Certifications |
| 1 | Japon | 9161 |
| 2 | Chine | 5069 |
| 3 | Royaume-Uni | 4503 |
| 4 | Inde | 3272 |
| 5 | États-Unis | 1517 |
| 6 | Allemagne | 1339 |
| 7 | Taïwan | 994 |
| 8 | Italie | 958 |
| 9 | Hollande | 913 |
| 10 | Espagne | 803 |
Top des pays d’Amérique latine certifiés ISO 27001
Au niveau mondial, la Colombie occupait en 2017 la 35e place (elle a reculé depuis la 29e position qu’elle occupait en 2016) avec 148 entreprises certifiées, étant le troisième pays d’Amérique latine dans le classement général (dépassé seulement par le Mexique et le Brésil). Le tableau suivant répertorie le Top 10 des pays avec des entreprises certifiées en Amérique latine :
| Top 10 – Pays d’Amérique latine certifiés ISO 27001 | ||
| Position | Pays | Certifications |
| 23 | Mexique | 315 |
| 34 | Brésil | 170 |
| 35 | Colombie | 148 |
| 50 | Chili | 64 |
| 52 | Argentine | 57 |
| 57 | Pérou | 43 |
| 64 | Uruguay | 31 |
| 73 | Costa Rica | 21 |
| 83 | Jamaïque | 11 |
| 87 | Équateur | 8 |
| 88 | Panama | 8 |
D’après l’expérience acquise au cours des 12 dernières années dans des centaines de projets de définition et de mise en œuvre de SMSI en Amérique latine et en Espagne (dont certains avec un objectif final de certification), nous avons identifié 5 aspects fondamentaux pour la réussite de ces initiatives :
- Engagement de la haute direction. Pour que l’initiative donne les résultats escomptés, le soutien et la participation de la haute direction de l’entreprise sont une condition nécessaire. Sans son soutien formel réel, il est presque impossible de développer avec succès l’initiative et de démontrer la conformité dans la mise en œuvre du SMSI. Les initiatives qui proviennent des secteurs opérationnels et/ou tactiques et qui ne bénéficient pas du soutien de la haute direction ont plus de chances d’échouer.
- Chaque entreprise est un monde différent. Chaque entreprise est un monde particulier, même si elles appartiennent au même secteur économique ou au même groupe d’entreprises. Chacune a son propre environnement de contrôle, un appétit de risque particulier et des risques de sécurité de l’information différents. Ce qui est bon pour une entreprise peut ne pas l’être pour une autre. Copier tel quel d’une entreprise à une autre n’est PAS approprié. Il faut donc tenir compte d’une compréhension des exigences de sécurité et de gestion des risques particulières à chaque organisation.
- Définition appropriée du périmètre. Il est important de définir un périmètre du SMSI. L’effort pour mettre en œuvre le SMSI n’est pas le même si l’on définit dans son périmètre TOUS les processus de l’organisation, par rapport à un périmètre qui n’inclut que 1 ou 2 processus essentiels. En ce sens, il est préférable de commencer par peu de processus et d’étendre progressivement le périmètre du SMSI à mesure que l’on atteint une plus grande maturité en matière de sécurité de l’information.
- Les contrôles ne sont pas tout. C’est une erreur de croire que la mise en œuvre des contrôles de sécurité inclus dans l’annexe A de la norme est « le tout », sans tenir compte des éléments clés d’un SMSI tels que, par exemple, les objectifs de sécurité de l’information, la déclaration d’applicabilité (SOA), les métriques et indicateurs de sécurité pour évaluer la performance, l’information documentée, les procédures d’audit interne, les non-conformités, les actions correctives, etc., et bien sûr, sensibiliser les ressources humaines de l’entreprise par divers moyens : affiches, banderoles, écrans de veille, vidéos, quiz, jeux, pièces de théâtre, etc.
- Automatiser le SMSI. Traditionnellement, ces initiatives sont exécutées avec le soutien d’outils bureautiques. Sans aucun doute, l’utilisation du logiciel GlobalSuite® Information Security a été un facteur critique de succès dans l’obtention de la certification par nos clients, car il a réduit la durée de la consultance d’au moins 25 % (notamment dans les activités de inventaire des actifs, gestion des risques et établissement de métriques et d’indicateurs), a permis au client de s’impliquer directement dans l’utilisation de l’outil en conservant tous les enregistrements et documents du SMSI dans un seul référentiel d’informations et a surtout permis de donner une autosuffisance au SMSI sans dépendance directe envers l’équipe de consultance, car nous l’avons construit conjointement. En ce sens, GlobalSuite® couvre tout le cycle PDCA de la norme ISO 27001 et permet l’amélioration et la durabilité de son SMSI par le client.
