Un système de management de la sécurité de l’information (SMSI) est un ensemble de contrôles qu’une organisation met en œuvre pour protéger ses propres actifs informationnels ainsi que les autres actifs informationnels dont elle est responsable.
Le jargon IT décrypté
Système de management de la sécurité de l’information
Imaginez un instant que vous disposiez d’un téléphone mobile spécifique que vous utilisez pour le travail. Vous y avez enregistré des informations de carte bancaire pour effectuer des paiements, des informations bancaires pour consulter vos finances, les coordonnées importantes des clients pour lesquels vous travaillez, des identifiants de connexion aux services auxquels vous êtes abonné, ainsi que de nombreuses données propriétaires liées au fonctionnement interne de votre entreprise.
Si, comme la plupart des gens, vous emportez votre téléphone portable partout avec vous, il existe un risque qu’il soit perdu ou volé à un moment donné. Si cela se produit, qu’advient-il des informations stockées sur l’appareil ? Comment protégez-vous votre vie privée et la sécurité de vos informations ? Et qu’en est-il de la protection des informations de vos clients ?
La réponse à toutes ces questions consiste à mettre en place un système de management de la sécurité de l’information (SMSI) : un ensemble de politiques, de procédures et de protocoles conçus pour sécuriser les informations sensibles au sein de votre entreprise et empêcher qu’elles ne soient détruites ou ne tombent entre de mauvaises mains. Cet article présente le SMSI en détail : nous expliquerons ce qu’il est, retracerons l’histoire de la sécurité de l’information et passerons en revue certaines bonnes pratiques pour mettre en œuvre un SMSI afin de protéger les données critiques de votre organisation.
À lire aussi : 7 façons dont l’UEM renforce votre sécurité
Qu’est-ce qu’un système de management de la sécurité de l’information ?
Un système de management de la sécurité de l’information (SMSI) est un ensemble de contrôles qu’une organisation met en œuvre pour protéger ses propres actifs informationnels ainsi que les autres actifs informationnels dont elle est responsable. Les organisations qui conçoivent et mettent en œuvre leur propre SMSI trouveront des moyens de réduire la probabilité d’une violation de données, de limiter leur responsabilité lorsqu’une violation de données survient et d’atténuer autrement l’impact de tout problème de sécurité des données. Voici quelques-uns des éléments clés d’un SMSI efficace :
Un SMSI est un système de gestion de la sécurité des données
Un SMSI établi régit les politiques, procédures, processus et workflows choisis pour contribuer à protéger la sécurité des données d’une organisation. Une fois les politiques définies par l’organisation, elles doivent être mises en œuvre et appliquées dans toute l’organisation afin d’en concrétiser les bénéfices. L’organisation pilote ces politiques au moyen du cycle PDCA (Planifier, Déployer, Contrôler, Agir), en réexaminant régulièrement les procédures et en les ajustant si nécessaire.
Bien qu’il n’existe pas d’exigences officielles de documentation pour le SMSI, il est courant de documenter les politiques et procédures liées à l’administration du SMSI selon une approche processus, ainsi que toutes les politiques, procédures, processus, workflows ou contrôles mis en œuvre pour faire progresser les objectifs de sécurité des données de l’entreprise.
Toutes les données ne sont pas traitées de la même manière par le SMSI
Le SMSI décrit la manière dont les données doivent être protégées par l’organisation, mais il n’est pas nécessaire qu’il traite toutes les données organisationnelles exactement de la même façon. Chaque jour, les organisations créent, enregistrent et échangent de nombreux types de données. Nous en avons mentionné quelques-uns plus haut : registres financiers de l’entreprise, identifiants et informations de connexion aux services utilisés par l’organisation, profils et informations des clients, ainsi que cartes bancaires et coordonnées bancaires de l’entreprise. Il existe également des e-mails, des rapports, des données d’inventaire, des données relatives aux installations, des dossiers de maintenance des équipements, etc.
Toutes les données organisationnelles n’ont pas à bénéficier du même niveau de sécurité, et la protection de certains types de données entraîne des coûts financiers et de productivité. Par exemple, si l’organisation exige une authentification à deux facteurs pour les connexions à la messagerie, un employé peut perdre deux minutes de productivité supplémentaires chaque fois qu’il consulte ses e-mails. Cela en vaut-il la peine ? Il revient aux dirigeants de l’organisation d’en décider dans le cadre de leurs propres évaluations des risques.
La conformité au SMSI est essentielle à une mise en œuvre réussie
Créer un SMSI et le stocker dans un dossier quelque part ne suffit pas, en soi, à améliorer la sécurité de l’information au sein de votre organisation. C’est la mise en œuvre effective des politiques et l’intégration de la sécurité de l’information dans votre culture organisationnelle qui vous protègent contre les violations de données. Si l’établissement et la maintenance du SMSI constituent une première étape importante, former les employés au SMSI et intégrer la conformité dans les processus et activités quotidiens de votre organisation est une priorité si vous souhaitez sécuriser correctement vos données.
Un SMSI est dynamique, pas statique
Le SMSI est un système vivant qui évolue en permanence : il est dynamique, et non statique. Dans la norme ISO 27001, une norme de sécurité de l’information, le cycle PDCA est appliqué aux systèmes SMSI. Les entreprises doivent établir le SMSI (planifier), mettre en œuvre et exploiter le SMSI (déployer), surveiller et revoir le SMSI (contrôler), puis maintenir et améliorer le SMSI (agir). Le SMSI doit être examiné et mis à jour régulièrement afin de refléter l’évolution de l’environnement de sécurité de l’information et les nouvelles bonnes pratiques en matière de sécurité des données.
Un SMSI efficace est fondé sur les risques
Il est important de comprendre qu’il est probablement impossible de protéger de manière absolue les données de votre organisation contre les incidents de sécurité. Un voleur ou un pirate disposant de suffisamment de temps et de ressources finira très probablement par trouver un moyen de contourner les mesures de sécurité que vous mettez en œuvre. Une cyberattaque contre un système de sécurité peu sophistiqué peut ne prendre que quelques heures à une seule personne, tandis qu’une équipe d’experts en sécurité formés peut mettre des semaines à accéder à un serveur fortement sécurisé.
Les organisations doivent réaliser une évaluation des risques afin de déterminer quels actifs doivent être les plus fortement protégés et d’allouer efficacement les ressources à la protection de ces actifs. Un SMSI fondé sur les risques tient compte du risque relatif associé aux différents types d’actifs informationnels lors de l’allocation des ressources à leur protection.
À lire aussi :Sécuriser le travail en tout lieu
Pourquoi les organisations doivent-elles protéger leurs données ?
Maintenant que nous avons une compréhension détaillée du SMSI, il est important de comprendre et de reconnaître pourquoi il est essentiel que les organisations protègent leurs données en établissant un SMSI. Voici les principales raisons pour lesquelles les organisations devraient mettre en place un SMSI afin de contribuer à protéger leurs données :
Le SMSI vous aide à gérer la sécurité des données à grande échelle
Revenons à notre exemple initial du téléphone portable professionnel susceptible d’être perdu ou volé. Il serait relativement simple d’empêcher qu’un seul appareil ne tombe entre de mauvaises mains, mais que se passe-t-il lorsque votre organisation compte 100 employés, 85 ordinateurs de bureau, 20 ordinateurs portables, 40 téléphones mobiles, une salle serveur et un référentiel cloud pour tous vos documents essentiels ? À ce stade, vous devez gérer la sécurité de l’information à grande échelle, car le volume de données est important et le réseau étendu. Un seul appareil doté d’un antivirus obsolète et mal configuré peut devenir une vulnérabilité compromettant le réseau. Un SMSI fournit des contrôles qui contribuent à sécuriser chaque terminal contre les attaques malveillantes, protégeant ainsi le système dans son ensemble.
Les violations de données coûtent extrêmement cher
Si vous n’avez jamais subi de violation de données au cours de laquelle les données de nombreux clients ont été volées, sachez que ces incidents sont extrêmement coûteux lorsqu’ils se produisent. L’étude 2017 Cost of Data Breach Study, menée par le Ponemon Institute avec le soutien d’IBM, a établi que le coût moyen d’une violation de données en 2017 s’élevait à 3,62 millions de dollars. Vous avez peut-être entendu parler de la violation de données d’Equifax, qui a entraîné une baisse de 20 % du cours de son action et plus de 30 recours collectifs déposés contre l’entreprise en l’espace d’un mois. Le géant Internet Yahoo a également été touché par une violation majeure de sécurité qui a compromis les informations de compte de ses 3 milliards d’utilisateurs ; les conséquences ont inclus 35 millions de dollars d’amendes fédérales, un règlement judiciaire de 80 millions de dollars et une réduction de 350 millions de dollars de sa valeur d’acquisition.
À cela s’ajoutent les coûts liés à la notification des clients dont les données ont été compromises, au recours à des experts en sécurité pour corriger les vulnérabilités à l’origine de la violation, ainsi que les autres pénalités, amendes et indemnisations versées aux personnes concernées.
Les organisations peuvent obtenir la certification ISO 27001
L’Organisation internationale de normalisation (ISO) est une entité mondiale qui publie des normes et des bonnes pratiques pour les organisations. En 2005, l’ISO a publié un document officiellement connu sous le nom d’ISO/IEC 27001:2005, qui établit la norme internationale pour les systèmes de management de la sécurité de l’information. Les organisations qui conçoivent leur SMSI conformément à ces dernières normes de sécurité de l’information peuvent obtenir une certification indiquant à leurs clients et partenaires qu’elles ont mis en place un système approprié pour sécuriser leurs actifs informationnels.
La certification ISO 27001 offre un avantage commercial aux organisations, en leur permettant de démontrer leur conformité aux bonnes pratiques les plus récentes en matière de management de la sécurité de l’information.
À lire aussi :Rapport 2023 sur l’état de la cybersécurité
Comment mettre en œuvre un SMSI dans votre organisation
Les organisations peuvent tirer des bénéfices significatifs de la mise en œuvre d’un SMSI, de la conformité à la norme ISO 27001 et de la sécurisation de leurs actifs informationnels, mais un processus approfondi de mise en œuvre et de formation est nécessaire pour exploiter pleinement les avantages du SMSI. Voici comment commencer à mettre en œuvre un SMSI dans votre organisation :
Première étape : identification et évaluation des actifs
La première étape de la mise en œuvre d’un SMSI consiste à identifier les actifs qui doivent être protégés et à déterminer leur valeur relative pour l’organisation. Rappelons qu’un SMSI fondé sur les risques tient compte de l’importance relative des différents types de données et d’appareils, et les protège en conséquence. À cette étape, les organisations collectent des données à partir de la documentation afin d’identifier les actifs informatiques critiques pour l’activité et leur importance relative pour l’organisation.
Les organisations doivent créer une déclaration de sensibilité (Statement of Sensitivity, SoS) qui attribue une note à chacun de leurs actifs informatiques selon trois dimensions distinctes : confidentialité, intégrité et disponibilité :
- Confidentialité : garantir que les informations sont accessibles exclusivement aux personnes autorisées
- Intégrité : garantir que les informations à sécuriser sont exactes et complètes, et que les informations ainsi que les méthodes de traitement sont protégées
- Disponibilité : garantir que les personnes autorisées ont accès aux informations et aux actifs protégés lorsqu’elles en ont besoin
Les organisations doivent trouver un équilibre entre la sécurisation des actifs et leur accessibilité aux personnes autorisées qui peuvent avoir besoin des données pour exercer leurs fonctions.
Deuxième étape : réaliser une évaluation détaillée des risques
Une fois l’identification et l’évaluation des actifs terminées, et l’organisation ayant formulé une SoS, il est temps de réaliser une évaluation détaillée des risques qui orientera l’élaboration du SMSI. Une analyse d’évaluation des risques comprend quatre étapes importantes pour déterminer comment l’actif informatique doit être protégé :
- Menaces : l’organisation doit analyser les menaces pesant sur l’actif en documentant tout événement indésirable susceptible d’entraîner une utilisation abusive, une perte ou un dommage des actifs, qu’il soit intentionnel ou accidentel.
- Vulnérabilités : les menaces décrivent concrètement ce qui pourrait se produire, tandis que les vulnérabilités mesurent dans quelle mesure l’actif informatique pourrait être exposé aux menaces identifiées dans la première partie de l’analyse. C’est à ce stade que vous commencez à distinguer les différents types d’actifs : si une attaque par logiciel malveillant constitue une menace pour les serveurs, les ordinateurs portables et les téléphones, nous pourrions indiquer ici que les téléphones sont plus vulnérables à cette menace, car ils seront utilisés à distance et pourraient être connectés à plusieurs réseaux externes, tandis que les serveurs resteront en interne et seront surveillés en continu.
- Impact et probabilité : l’organisation peut maintenant évaluer la probabilité que certains types de violations se produisent, ainsi que l’ampleur des dommages potentiels résultant de chaque type de violation de données. Les organisations peuvent utiliser une analyse coûts-bénéfices pour les aider à cibler les violations potentiellement les plus dommageables avec les mesures de sécurité les plus strictes.
- Atténuation : enfin, l’organisation propose des méthodes pour réduire au minimum les menaces, vulnérabilités et impacts identifiés au moyen de politiques et de procédures intégrées au SMSI.
Troisième étape : établir le SMSI
Maintenant que l’organisation a identifié les actifs à protéger et réalisé une évaluation complète des risques, elle peut procéder à la rédaction des politiques et procédures concrètes qui constituent le SMSI. Les organisations doivent établir le SMSI conformément à la norme ISO 27001 si elles souhaitent obtenir une certification attestant des bonnes pratiques en matière de management de la sécurité de l’information.
Revenons à notre premier exemple du téléphone professionnel non sécurisé : quelles mesures l’organisation pourrait-elle prendre pour garantir que les informations présentes sur le téléphone sont correctement protégées en cas de perte ou de vol ? Voici quelques exemples de politiques pouvant être mises en œuvre pour contribuer à atténuer le risque :
- Les téléphones perdus ou volés doivent être signalés au service informatique dans un délai de huit heures. Si vous ne savez pas où se trouve votre téléphone, contactez immédiatement le service informatique.
- Le service informatique doit être en mesure de localiser et d’effacer à distance tout téléphone appartenant à l’entreprise.
- Les téléphones de l’entreprise doivent être protégés par un mot de passe biométrique correspondant à l’utilisateur désigné : empreinte digitale, scan de la rétine ou technologie de reconnaissance faciale doivent être utilisés pour déverrouiller le téléphone.
- Les téléphones de l’entreprise sont fournis avec un étui de ceinture sécurisé, afin d’encourager les employés à éviter de perdre l’actif en le gardant sur eux lorsqu’ils ne l’utilisent pas.
Cet ensemble de politiques et de procédures permettrait de réduire au minimum la possibilité d’une violation de données due à la perte d’un téléphone. L’exigence d’un mot de passe biométrique augmente considérablement le niveau de sophistication nécessaire pour obtenir un accès non autorisé au téléphone, les obligations de signalement renforcent la responsabilité de l’utilisateur du téléphone, et le service informatique peut supprimer les données sensibles de tout téléphone déclaré manquant.
Résumé
Un SMSI est un ensemble de politiques et de procédures qui définissent la manière dont votre entreprise protégera ses actifs informationnels contre l’utilisation abusive, la perte ou les dommages, qu’ils soient intentionnels ou accidentels. Établir un SMSI constitue une étape importante pour sécuriser les actifs de données de votre organisation et vous protéger contre les conséquences juridiques et financières d’une violation de données. Les organisations peuvent obtenir la certification ISO 27001 en se conformant aux normes mondiales applicables aux SMSI. La mise en œuvre d’un SMSI exige que les organisations identifient et évaluent leurs actifs, réalisent une évaluation des risques et documentent les politiques et procédures établies. Des programmes de formation sont nécessaires pour garantir que les employés respectent le SMSI lorsqu’ils manipulent des données sensibles.
Le SMSI doit être maintenu et régulièrement révisé, conformément au cycle PDCA, dans une logique d’amélioration continue visant un SMSI fondé sur les risques qui répond aux besoins de l’organisation en matière de sécurité des données.