La sécurité des systèmes d’information n’est plus une affaire de techniciens. Elle concerne aussi le management de l’entreprise. Cette prise de conscience commence à se développer. La normalisation a d’ailleurs entériné cet état en publiant aujourd’hui sous la référence ISO 27001 les principes de management de la sécurité des systèmes d’information. Comme il y a vingt ans, elle développait les principes de management de la qualité avec l’ISO 9001. Le sujet a fait recette lors des dernières assises de la sécurité de l’information qui se sont tenues à Monaco du 14 au 17 octobre 2008. La gestion des risques et la gestion des crises sont à l’ordre du jour ; il faut bien dire que le sujet est d’actualité.

Apprécier les différentes options de mise en œuvre d’un SMSI

Les normes de la série ISO 27000 sont encore jeunes. Leurs mises en œuvre font l’objet d’approches différentes entre les acteurs. Les certificateurs sont en train de rôder leurs mécanismes d’évaluation, ce qui laisse une part d’incertitude dans les résultats de certification. Ainsi, lors des ateliers, les témoignages permettent d’apprécier les différentes options de mise en œuvre d’un système de management de la sécurité de l’information (SMSI). La première option consiste à embrasser large et à considérer que le périmètre de la démarche doit être le plus étendue et donc couvrir l’ensemble de l’organisation de l’entreprise. Cette option est défendue par les cabinets de conseil en management qui considèrent le système de management de la sécurité de l’information comme partie intégrante du contrôle interne.

La française des jeux, une des premières entreprises certifiée

La seconde option consiste à faire le contraire c'est-à-dire à limiter le périmètre du système de management à quelques entités en commençant par exemple par celles de la direction des systèmes d'information (DSI). Cette option est plutôt défendue par les acteurs venant du monde des services informatiques qui tentent de lier ces démarches à l’usage d’outils et de méthodes issus de la technique. La première approche traduit une prise de conscience forte de la direction de l’entreprise sur les aspects de sécurité de l’information et d’un réel leadership. C’est, par exemple, le cas de la française des jeux, une des toutes premières entreprises certifiées ISO 27001 en France. La seconde approche permet d’aborder le sujet dans une logique pédagogique en utilisant un exemple qui sera ensuite valorisé afin de mobiliser le reste de l’entreprise sur le son plus large déploiement.

La sécurité de l’information ne se limite pas à la confidentialité

Quelque soit l’approche choisie le véritable enjeu de la mise en place d’un SMSI se situe au niveau de la définition du périmètre et des actifs qui y sont inclus. L’analyse de risques joue ici un rôle primordial et l’engagement de la direction de l’organisation souhaitant mettre en place un SMSI est déterminant pour sa mise en œuvre. L’analyse de risques doit identifier les risques associés au système d’information et ainsi permettre d’identifier les conséquences de leurs occurrences sur l’activité de l’entreprise. Ceci est d’autant plus vrai si la sécurité de l’information est prise dans son acception la plus large ; c'est-à-dire non seulement sa confidentialité mais également son intégrité, sa disponibilité, sa fiabilité et sa conformité. Reste une question fondamentale : sans un monde où la sécurité devient un enjeu crucial, où les dysfonctionnements des systèmes d’information peuvent rendre vulnérables les entreprises et les États, le domaine de la normalisation et la certification de la sécurité de l’information connaîtra-il le même engouement que celui pour la qualité, vingt ans plus tôt ?