Accompagnement à la certification d'un SMSI ISO 27001

---

Le SMSI est le le Système de Management de la Sécurité de l'Information d'une entreprise. C'est l'outil lui permettant de mettre en œuvre une sécurité adaptée à ses véritables besoins (ni trop, ni trop peu), en mobilisant toutes les parties prenantes de l'organisation et de son écosystème, dans une démarche d'amélioration continue.

Certifié Lead Auditor ISO 27001, par LSTI, en juin 2007, puis septembre 2015, M. Dominique CIUPA a accompagné de nombreuses entreprises pour leur permettre d'obtenir une certification ISO 27001.

M. Dominique CIUPA est par ailleurs membre de la commission CN 27 SSI d'AFNOR Normalisation, et de ce fait, suit toutes les évolutions normatives de ce secteur.

M. Dominique CIUPA intervient avec la norme NF EN ISO/CEI 27001:2024, telle qu'exigée par le COFRAC (Comité Français d'Accréditation) à ce jour. Il intervient également avec les versions internationales de cette même norme.

De nombreux consultants cherchent à réduire un SMSI à l'implémentation des mesures de sécurité de l'annexe A de la norme ISO 27001. C'est une erreur regrettable qui conduit à faire un exercice abstrait de conformité, sans lien avec les véritables besoins de l'entreprise.

Les besoins de l'entreprise peuvent d'ailleurs la conduire à mettre en œuvre d'autres mesures que celles listées dans cette annexe A. La démarche de la société "DCSC" est donc pragmatique pour adresser  en priorité les enjeux "business" en matière de cybersécurité.

Le SMSI peut élaborer un Plan de Traitement des Risques (PTR) intégrant des mesures de sécurité telles que celles demandées dans l'article 21-2 de la directive NIS2. Une déclaration d'applicabilité spécifique peut être élaborée pour une Entité Essentielle (EE) ou une Entité Importante (EI) visée par NIS2, en utilisant le vocabulaire de l'entreprise ainsi qu'il est explicitement proposé dans les annexes de la norme ISO 27007.

Pour ce faire, la société "DCSC" propose une démarche structurée autour de 8 processus pour mettre en  œuvre un SMSI.

P1 : pilotage du SMSI (et engagement de la direction).

P2 : gestion des risques (c'est le processus le plus important par lequel il convient de commencer pour implémenter un SMSI).

         P2-1 : Appréciation des risques

         P2.2 : Plan de traitement des risques (PTR)

                    1. Sous-ensemble de processus élémentaires de mise en œuvre des mesures de sécurité. Par exemple le MCS (maintien en conditions de sécurité), l'annuaire et la gestion des identités, le filtrage et les autres protections, etc. La gestion des vulnérabilités, intégrée  au MCS, est l'un de ces processus élémentaires, comme la gestion des sauvegardes.

                    2. DdA / SoA : déclaration d'applicabilité du SMSI, pouvant s'étendre au-delà de l'annexe A de l'ISO 27001 (reprenant les mesures de sécurité de l'ISO 27002). Une utilisation de la norme ISO 27007 permet de justifier une rédaction propre à chaque entité.

                    3. Lorsque nécessaire : cellule de crise - plan de reprise d'activités - PUPA _ BIA. Mécanisme de résilience. Ces sujets peuvent aller au-delà des seules exigences de la norme ISO 27001 pour préparer une conformité à la directrice REC (Résilience des entités critiques).

P3 : gestion compétences, formation, sensibilisation, responsabilisation et communication.

P4 : documentation du SMSI et des mesures de sécurité (standards). Une grande partie est attachée au processus P2-2 : plan de traitement des risques (PTR). Ce processus peut être rapproché de celui de la gestion documentaire d’une certification ISO 9001.

P5 : gestion des incidents, et établissement de RETEX.

P6 : évaluation des performances, indicateurs, audit interne.

P7 : revue de direction  (et engagement de la direction). Ce processus peut être rapproché de celui de la revue de direction  d’une certification ISO 9001.

P8 : amélioration continue. 

Ces 8 processus sont ceux qu'un certificateur examine pour contrôler la conformité du SMSI de l'entreprise aux chapitres 4 à 10 de la norme ISO 27001.

La DdA (Déclaration d'Applicabilité) présente les mesures de sécurité que l'entreprise met en œuvre. C'est la résultante du plan de traitement des risques. L'entreprise doit comparer celui-ci avec l'annexe A de la norme, et justifier de l'exclusion de certaines mesures qui sont dans cette annexe. Il est fréquent qu'elle doive ajouter des mesures de sécurité additionnelles :

- Celles-ci peuvent être obligatoires pour obtenir d'autres certifications par exemple pour l'hébergement de données de santé (HDS),

- Elles peuvent de même provenir d'exigences particulières. Par exemple pour les systèmes industriels avec l'IEC 62443,

- Elles peuvent provenir des mesures de sécurité de la directive NIS2 (article 21-2).

La société "DCSC" prend donc en compte les spécificités des entreprises pour identifier les mesures de sécurité devant constituer la DdA.

L'objectif est d'assurer la sécurité de l'entreprise, et non de "recopier" l'annexe A de la norme...

Un système de management n'a de sens qu'à travers les interactions entre les différentes équipes.

Dans un monde parfait, idéal, et qui n'existe pas, la gestion des risques devrait permettre de se prémunir de tout incident, ou de tout accident, car des objectifs de sécurité, puis des mesures de sécurité auraient permis de se prémunir contre tout risque. Tout véritable professionnel sait qu'il n'en est rien.

Les retours d'expérience du processus de gestion des incidents (P5) doit donc autoriser à remettre en cause les conclusions du processus de gestion des risques (P2). Des choses peuvent avoir été omises et une analyse peut devoir être refaite.

C'est le sens de l'amélioration continue du système de management.

Le dialogue, la communication et la suppression de "travaux en silos", étanches, doit être la véritable valeur ajoutée de la mise en œuvre d'un SMSI.

La société "DCSC" peut intervenir de différentes manières dans le SMSI :

• la préparation du projet de mise en œuvre d'un SMSI : cadrage, "audit à blanc", premier plan d'actions, conseil de direction,
• la formation à l'ISO 27001, à l'analyse de risque (ISO 27005, EBIOS et autres), la sensibilisation des acteurs,
• l'implémentation du SMSI avec une appréciation des risques, un plan de traitement des risques, une politique de sécurité (PSSI),
• la gestion des incidents,
• le choix d'une structure documentaire appropriée,
•  la conduite de l'audit interne, indépendante de l'équipe d'implémentation,
• l'audit de certification avec un organisme accrédité,
• les revues de direction et plans d'amélioration continue.

Ces interventions peuvent concerner le lancement d'un nouveau projet en vue d'obtenir une certification, ou l'accompagnement de l'entreprise en vue de maintenir sa certification, ou de faire évoluer celle-ci : périmètre, certifications complémentaires, etc.