SMSI – Système de Management de la Sécurité de l’Information

Un SMSI (Système de Management de la Sécurité de l’Information) est un cadre structuré qui permet à une organisation de :

• comprendre ses risques réels,
• déployer des mesures adaptées et proportionnées,
• piloter la sécurité dans la durée,
• démontrer sa conformité aux exigences ISO 27001 et réglementaires (NIS 2, REC, CRA, RGPD…).

Un SMSI est un système vivant, basé sur l’amélioration continue PDCA.

Un SMSI regroupe et organise l’ensemble des politiques, processus, responsabilités, ressources et contrôles mis en place pour améliorer et maintenir les niveaux de sécurité physique et logique d’une organisation ou d’un service. Un SMSI repose sur le principe d’amélioration continue (cycle PDCA). Il est composé de 7 volets et structure l’ensemble de la démarche ISO 27001.

Lorsqu’un SMSI est parfaitement structuré, il simplifie la conformité à de nombreuses réglementations européennes, offrant transparence et auditabilité des niveaux de sécurité.

Un SMSI repose sur le principe d’amélioration continue, matérialisé par le cycle PDCA (Plan – Do – Check – Act). Le PDCA, aussi appelé méthodologie de Deming, est efficace pour optimiser, améliorer et standardiser des processus, réduire les risques ou encore, dans le cadre de l’ISO 27001, piloter durablement la sécurité en entreprise.

Plus que de définir des exigences techniques, un SMSI indique comment une organisation doit piloter sa sécurité. On peut le voir comme un cycle, un cercle reliant différents volets. Si l’un de ces volets évolue, il lancera un nouveau cycle complet d’amélioration en suivant le schéma PDCA.

Dans le cadre de l’ISO/IEC 27001:2022, ces volets sont des exigences relatives au SMSI fixées par les clauses normatives 4 à 10 :

• Contexte de l’organisation : comprendre les enjeux internes et externes, identifier les parties prenantes, définir le périmètre du SMSI.
• Leadership : engagement de la direction, politique de sécurité, rôles et responsabilités.
• Planification : appréciation et traitement des risques, objectifs mesurables, plans d’action.
• Support : ressources, compétences, sensibilisation, communication, informations documentées.
• Fonctionnement : pilotage opérationnel, contrôle des changements, maîtrise des services externes.
• Évaluation des performances : indicateurs, audits internes, revues de direction.
• Amélioration : actions correctives et amélioration continue.

Mettre en place un SMSI et viser une certification ISO 27001 est une preuve reconnue de sécurité structurée, mesurable et durable, capable d’évoluer face aux menaces, aux usages et aux exigences réglementaires.

SMSI, NIS 2 et REC

Un SMSI impose une démarche de gestion de la sécurité parfaitement en ligne avec la plupart des exigences portées par les directives européennes (NIS 2 / REC) et recommandations de l’ENISA :

• Analyse de risque
• Planification
• Gouvernance
• Amélioration continue

Le but des réglementations n’est pas de punir, mais d’accompagner. En définissant des processus clairs et documentés, le SMSI, même s’il ne débouche pas sur une certification ISO 27001, permet de simplifier le travail d’audit et d’identifier les axes d’amélioration comme les failles de sécurité.

Lorsqu’une certification ISO 27001 est obtenue grâce à la qualité de votre SMSI, elle vaut présomption de conformité NIS 2 dans certains pays européens (référentiel Cyfun utilisé en Belgique par exemple) ou permet de couvrir la majorité des obligations pour les entités importantes et essentielles.

Un SMSI peut permettre une conformité NIS 2 / REC si la certification ISO 27001 est atteinte sur le périmètre imposé par la loi.

SMSI et Cyber Resilience Act

Le Cyber Resilience Act impose des niveaux de sécurité minimaux pour tous les produits contenant des éléments numériques.

Entre autres obligations, celles concernant la sécurité du site de production / conception de ces produits (hardware comme software) imposent sans discussion la mise en place d’un SMSI. Une démarche organisationnelle doit être documentée et maintenue dans le temps, notamment sur :

• la gestion des vulnérabilités,

• la sécurité dès la conception (security by design), et par défaut (security by default)

• la gestion des incidents et des correctifs,

• la traçabilité des décisions et responsabilités.

Un SMSI ne remplace pas les exigences spécifiques du CRA applicables aux produits, mais facilite leur mise en œuvre, leur pilotage et leur maintien dans le temps.

Rejoignez SPAC Alliance