Processus SMSI : superflux ou indispensables ?

Qu’est-ce qu’un processus ?

On peut définir un processus comme étant un ensemble logique de tâches liées entre elles et exécutées pour atteindre un objectif défini. Un processus est une suite d’activités structurées et mesurées, conçues pour réaliser un produit ou un service pour un marché ou un client particulier.

Pourquoi les processus sont importants ?

Les processus permettent au SMSI de s’inscrire dans une boucle d’amélioration continue en organisant et structurant les activités supports au SMSI. Ils sont souvent oubliés (ou mal formalisés) dans la démarche au profit des articles de la 27002. Hors, l’objectif de la mise en œuvre d’un SMSI certifié ne vise pas le 100% sécurité mais doit attester de l’inscription des activités sécurité dans la boucle d’amélioration continue (Roue de Deming PDCA). L’absence de processus peut conduire à une non-conformité majeure.

Et pour qu’une entreprise fonctionne de manière efficace, elle doit mettre en œuvre et gérer de nombreux processus corrélés et interactifs. Souvent, l’élément de sortie d’un processus forme directement l’élément d’entrée du processus suivant. L’identification et le management méthodiques des processus utilisés dans un organisme et, plus particulièrement les interactions de ces processus, sont appelés « l’approche processus ».

Ces processus sont la clé de voute du SMSI : la norme ne vise pas à sécuriser techniquement un SI, mais à mettre en place le dispositif organisationnel pour supporter, piloter et améliorer la sécurité. Dans un SMSI certifié, ce dispositif se matérialise par la mise en œuvre des processus du SMSI. Au cours de la construction et de l’implémentation du SMSI, leur conception est logiquement et impérativement l’une des premières étapes.

Les processus du SMSI

Pour un Système de Management de la Sécurité de l’Information, la norme ISO/CEI 27001 :2013 impose la définition et la mise en œuvre de processus. De fait, les processus identifiés à prendre en compte sont :

Plan

Piloter le SMSI,
Gérer les risques,

Gérer les incidents,
Sensibiliser et former (les différents acteurs du projet SMSI),
Gérer la documentation,

Check

Contrôler le SMSI et collecter les preuves,
Réaliser la revue de direction du SMSI,

Act

Améliorer le SMSI,

1) Piloter le SMSI

Ce processus est transverse à l’ensemble du SMSI. Il a pour objectif de définir la manière dont le SMSI lui-même va être géré par l’organisation.
Les objectifs de ce processus sont de :

Piloter le SMSI selon son cycle de vie : PLAN (Planifier), DO (Déployer), CHECK (Contrôler) et ACT (Agir)
Décrire l’organisation des comités de pilotage SSI
Mettre en place les indicateurs et un tableau de bord de suivi du SMSI.

Les actions à réaliser dans ce processus sont de :

Suivre l’avancement du plan de traitement des risques,
Suivre les incidents de sécurité et plans d’actions subséquents,
Suivre les projets du SMSI en cours,
Définir et alimenter le tableau de bord SMSI et mesures de sécurité, et indicateurs/surveillance,
Suivre les actions correctives et préventives en cours,
Suivre les résultats d’audit,
Définir les besoins et le budget correspondant pour exploiter le SMSI (notamment les ressources),
Arbitrer les décisions/actions,
Revoir les facteurs de risques et résultats d’analyse de risques.

Pour gérer et implémenter ce processus, je recommande l’utilisation d’Excel. D’autres solutions telles que PowerBi ou Qlikview peuvent permettre de formaliser les indicateurs et le tableau de bord.

2) Gérer les risques

Ce processus a pour objectif principal d’avoir une vision globale et structurée des risques liés à la SSI.

En faisant une telle appréciation, l’organisation peut traiter ces risques et établir une liste de priorité pluri annuelle.

Les objectifs de ce processus sont de :

Estimer la gravité des risques à partir des critères d’appréciation : les risques sont analysés, tant en fonction de leurs vraisemblances que de leurs impacts,
Identifier pour chaque risque l’existence ou non d’activités de maitrise des risques permettant de le minimiser,
Sélectionner des scénarios de risques à traiter (suivant les critères d’évaluation des risques),
Décider de la mise en place des mesures de réduction du risque à réaliser pour ramener le niveau de risque résiduel à un niveau de risque acceptable,
Définir le plan de traitement des risques (PTR).

Dans ce cadre, je recommande l’utilisation des solutions EGERIE Risk Manager ou RISKnTIC qui sont labellisées par l’ANSSI et apportent une approche plus rigoureuse de la gestion de risques.

3) Sensibiliser et former

Ce processus a pour objectif de s’assurer que le personnel de l’organisation impliqué dans le projet SMSI a intégré les fondamentaux du SMSI.

Les objectifs de ce processus sont de :

Définir les objectifs et les besoins en matière de sensibilisation et de formation et les moyens nécessaires pour les atteindre (i.e. habitudes à changer et les compétences à acquérir),
Élaborer le plan de sensibilisation et le plan de formation annuel,
Définir les modalités (fréquence, supports, formats, durées, etc.) des programmes de sensibilisation et de formation,
Élaborer les supports de sensibilisation et/ou de formation internes,
Evaluer l’efficacité des actions de sensibilisation et de formation et améliorer le programme de formation/sensibilisation.

Les moyens de formation peuvent être :

Des formations certifiantes dispensées auprès d’organismes externes,
Des formations incluses et dispensées dans le cadre du projet par la société qui vous accompagnera,
Un mix des deux.

L’un des livrables de sortie du processus est le plan annuel de sensibilisation et de formation.

NB : La formation et sensibilisation au titre de la 27001 concerne principalement les acteurs du projet qui vont supporter les processus et qui a pour but d’apporter les compétences permettant à une personne de remplir ses fonctions au titre du projet (RSSI, chef de projet SMSI, auditeur interne, DSI…), par exemple une formation ISO 27001 Lead Implémenter. Si vous disposez d’une équipe d’audit interne, l’objectif pourrait être de former votre équipe à l’audit à blanc du SMSI.

4) Gérer la documentation

La documentation et le recueil de preuves sont primordiaux pour la certification. L’objectif de ce processus est de s’assurer que l’ensemble des documents nécessaires au SMSI sont correctement gérés (gestion des versions, archivage, validation, etc.).

La documentation doit inclure les enregistrements des décisions de gestion et assurer que les actions entreprises sont identifiables grâce aux décisions de la Direction. Les documents requis pour le SMSI doivent être protégés et maîtrisés. La norme ISO 27001-2013 liste les documents « obligatoires » pour constituer le SMSI, desquels on peut déduire des documents « implicitement obligatoires ».

Ce processus s’assure également que les preuves sont collectées et conservées dans le respect de leurs confidentialités (stockage sécurisé) et intégrités. Pour la mise en œuvre du processus, je recommande l’utilisation d’une gestion électronique de documents (GED.

5) Contrôler le SMSI

Ce processus permet de s’assurer que le SMSI de l’organisation est cohérent avec les exigences de la norme ISO/CEI 27001 :2013 et les attentes et/ou exigences des parties intéressées. Les objectifs de ce processus sont de :

S’assurer que le SMSI mis en place par l’organisation est efficace,
Évaluer les performances de la sécurité de l’information mise en place,
S’assurer que le SMSI mis en place par l’organisation est :
- Conforme à la norme ISO 27001,
- Conforme aux politiques et procédures définies par l’organisation, et aux exigences internes,

L’un des éléments de sortie de ce processus est un plan d’audit annuel. Les résultats de contrôles servent également d’élément d’entrée du processus de revue de Direction.

6) Réaliser la revue de Direction du SMSI

Ce processus permet à la Direction de procéder à l’examen du SMSI en vue de sa révision, à des intervalles planifiés afin de s’assurer qu’il est toujours approprié, adapté et efficace.

Les objectifs de ce processus sont :

Vérifier l’efficacité et l’adéquation du SMSI,
Vérifier que le SMSI est conforme à la norme ISO 27001 et aux processus et procédures définies par l’organisation,
Identifier les opportunités d’améliorations du SMSI,
Impliquer la Direction dans le SMSI.

Le processus de contrôle du SMSI est un élément d’entrée de ce processus tout comme le processus de gestion des incidents.

7) Gérer les incidents de sécurité

La gestion des incidents de sécurité est un élément essentiel du cycle de vie de la sécurité. L’objectif premier du processus de gestion des incidents de sécurité est de détecter puis de neutraliser un évènement de sécurité avéré (incident SSI), lié au maintien des critères de sécurité (disponibilité, intégrité, confidentialité, traçabilité) de l’actif impacté.

La gestion des incidents de sécurité passe par la définition de deux objectifs majeurs :

Garantir que le mode de notification des événements et des failles liées à la sécurité de l’Information permet d’engager la mise en œuvre d’une action complémentaire ou corrective dans les meilleurs délais,
Garantir la mise en place d’une approche cohérente et efficace pour le traitement des incidents liés à la sécurité de l’information et ainsi :
- Améliorer le temps de réponse et réduire au minimum les faux-positifs,
- Déterminer les stratégies pour contenir les incidents,
- Recueillir les preuves nécessaires pour appuyer une éventuelle action en justice.

Pour gérer et implémenter ce processus, plusieurs applications sont disponibles comme GLPI ou Service Now qui permet via une CMDB d’organiser le ticketing des incidents.
Si l’entreprise a organisé les processus de la DSI selon ITIL, il conviendra de clarifier le vocabulaire entre incident et incident de sécurité, gestion des problèmes, …

8) Améliorer le SMSI

Ce processus permet de s’assurer que le SMSI de l’organisation est en amélioration continue, objectif majeur de la certification.
Les objectifs de ce processus sont de :

Réagir aux non-conformités identifiées suite au processus de contrôle et agir pour les corriger et pour qu’elles ne se reproduisent pas,
Mener des actions préventives et d’améliorations (curatives) afin de permettre l’amélioration du SMSI.

Déploiement des processus

Il s’agit de confier la responsabilité d’un ou plusieurs processus à un Process Owner.
Le choix des process owner est propre à chaque entreprise et fonction de son organisation.

Une PME-ETI ne dispose en général pas d’une équipe de contrôle interne ni d’audit interne sur laquelle elle pourra s’appuyer. Dans ce cas, la société peut confier à un prestataire comme Synetis la gestion de ce processus. Autre exemple, la gestion de la documentation peut être confiée à une fonction Qualité si celle-ci est représentée dans l’entreprise. Quant au processus de formation-sensibilisation, celui-ci pourrait être confié à la Direction des Ressources Humaines.

Par ailleurs, un Chef de Projet SMSI peut être nommé pour prendre en charge le processus de pilotage du SMSI.
Le processus de gestion des risques est généralement du ressort du RSSI mais dans les grosses structures, il peut être confié à la Direction du Risque et du Contrôle interne.

Conclusion

Oui, les processus sont importants parce qu’ils permettent de faire vivre le SMSI et de l’inscrire dans une boucle d’amélioration continue. L’absence d’un processus majeur peut conduire à une non-conformité majeure. La première certification est souvent plus facile à obtenir mais ça se durcit dès la deuxième année lors des audits de surveillance.

À propos de l’auteur : Tarek, expert SMSI, certifié ISO 27001 Lead Auditor et implementer. J’ai été formateur Lead Auditor ISO 27001 et formateur Lead Implementer ISO 27001. J’ai accompagné plusieurs entreprises dans leurs projets SMSI jusqu’à l’obtention de leurs certifications.