SMSI : La face cachée de l’iceberg.

– Retour d’expérience –

Ça y est !

Vous avez croisé votre Directeur Général dans les couloirs qui en substance vous a dit « Il faut que l’on se fasse certifier 27001, c’est primordial ! ». Le « bébé » est transmis, et en tant que DSI, RSSI ou RSI c’est à vous de jouer. La pression monte.

Par où commencer, comment vous organiser, comment s’assurer du succès de cet objectif qui vous a été confié au plus haut niveau de l’entreprise…

Vous devez d’abord comprendre :

• Ce qu’est un SMSI
• Quelles sont les finalités de sa mise en œuvre ?
• Comment le mettre en œuvre ?
• A quel moment suis-je prêt à me faire certifier ?
• Quels sont les facteurs clés de succès ?
• Quel budget pour mon entreprise ?
• Les idées reçues

SMSI

SMSI pour Système de Management de la Sécurité de l’Information. Le SMSI adopte une approche pragmatique par les risques, selon les vues métiers, activités et processus. Il intègre un cycle d’amélioration continue issu de la roue de Deming dite PDCA pour Plan Do Check Act.

A contrario, un SMSI n’est pas gage d’une sécurité à 100% qui malgré un investissement conséquent est illusoire. Ce n’est pas non plus une certification technique mais une certification dite de saine gestion de la Cybersécurité.

Finalités de mise en œuvre

La certification ISO 27001 est devenu facteur de compétitivité ou d’exclusion selon que l’entreprise soit ou non certifiée. Les fournisseurs de services en mode SaaS et hébergeurs sont considérés, au premier titre, dans le cadre de consultations clients qui imposent aujourd’hui de façon quasi systématique la certification comme un pré requis. La certification s’est aussi étendue à d’autres secteurs d’activité tels que le secteur de la santé pour les hébergeurs de données de santé avec le référentiel HDS qui s’appuie principalement sur la norme 27001 tout en l’étendant à ISO 20000 et ISO 27018.

Mise en œuvre

La définition et la mise en œuvre d’un SMSI est un projet d’entreprise même si son périmètre défini ne concerne pas l’ensemble des activités de l’entreprise. Un projet d’entreprise puisqu’il implique de réunir autour de lui tous les acteurs de l’entreprise en prise directe ou indirecte avec la Cyber sécurité. Prise directe pour le DSI ou le RSSI, prise indirecte pour les fonctions métiers ou support tels que la Direction des Ressources Humaines par exemple. L’entreprise devra, à ce titre, et si tel n’est pas le cas aujourd’hui, passer du mode « La Cyber sécurité est du ressort du RSSI » à « La Cyber sécurité est l’affaire de tous, chacun dans son métier ».

Le projet SMSI doit donc pouvoir s’appuyer et compter sur des fonctions clés de l’entreprise, clairement définies, et les rôles et responsabilités attribués au titre du SMSI également. Une gouvernance claire, sa définition et mise en place au titre du projet est donc essentielle. Des arbitrages doivent pouvoir être rendus et des décisions prises rapidement. La Direction Générale ou un échelon de décision suffisant doivent donc être le support du projet.

Périmètre

Le choix du périmètre est crucial, sa définition l’est tout autant…

Il est donc primordial avant de foncer tête baissée dans le diagnostic de comprendre les enjeux de l’entreprise, son organisation, ses métiers et ses processus, la finalité du projet et de la certification visée. S’agit–il de certifier un produit, un service, une activité ? L’objectif de certification est-il de gagner des parts de marchés, de reprendre la main sur une activité/un service IT devenu hors de contrôle ou en risque faute de formalisation évidente de ses activités ?

Au travers de mes expériences, voici les travers que j’ai pu constater :

1° Le choix d’un périmètre ultra limité

Le choix d’un périmètre ultra limité est très tentant pour aller vite et obtenir rapidement la certification mais il est difficilement justifiable à l’auditeur, les exclusions ou interdépendances fortes du périmètre étant non acceptables.

2° Le choix d’un périmètre trop large

A l’inverse, le choix d’un périmètre trop ambitieux fait courir un risque d’enlisement du projet. Commencer petit (Kaizen) puis étendre sa certification à de nouveaux périmètres est gage de succès.

3° Une définition erronée/raccourcie

« Je veux certifier 27001 mon Datacenter ».

L’entreprise souhaitant tirer profit de la certification en attirant de nouveaux clients à héberger, il s’agit davantage de certifier les offres de services proposées aux clients plutôt que le Datacenter en lui-même. Pour point de comparaison, et selon un raisonnement classique fondé sur les risques, qui est aussi la logique pragmatique retenue par la norme ISO/CEI 27001, le Datacenter est plutôt un bien support (support IT à la délivrance des activités métiers) et les offres de services des biens essentiels (actifs ou valeurs métiers Ebios RM).

Diagnostic

Un diagnostic précis de la conformité et de la maturité de l’entreprise est un pré requis au projet de mise en œuvre car il permet à la Direction Générale, en sortie du diagnostic, de décider de la poursuite ou de l’arrêt du projet. La poursuite ou l’arrêt dépendant principalement des efforts à fournir. Plus l’entreprise est mature, plus les efforts à fournir et donc in fine les engagements budgétaires correspondants seront faibles facilitant la prise de décision positive. Si l’entreprise dispose d’un niveau de maturité faible, les efforts à fournir seront conséquents et les investissements nécessaires forts. La maturité de l’entreprise dépend beaucoup dans ce cadre précis du référentiel Cyber sécurité dont dispose l’entreprise. Référentiel Cyber devant être défini comme l’ensemble des politiques et procédures Cyber (Corpus ou Framework) dont dispose l’entreprise, la norme exigeant pas moins de 50 documents différents.

Vous avez maintenant, à l’issue du diagnostic, pris la décision de poursuivre votre projet.

Comment s’y prendre

Le diagnostic a fait ressortir votre plan d’actions articulé autour du volet 27001 d’une part, du volet 27002 d’autre part.

Tout ce qui est du ressort de la 27001 est un pré requis à la certification. L’absence d’un document requis, comme la déclaration d’applicabilité (DdA ou SoA en Anglais) aboutit à une non-conformité majeure pour l’auditeur accrédité qui viendra vous auditer. Ce qui est souvent oublié au titre de la 27001 sont les processus supports au fonctionnement du SMSI comme par exemple le processus de gestion des risques ou d’audit interne. Je recommande que tout ce qui a trait aux objectifs et livrables de la 27001, compte tenu de leur caractère obligatoire soit porté par Synetis qui s’engagera vis-à-vis de vous sur les résultats.

Le volet 27002 du plan d’actions va quant à lui, concerner la mise en conformité relative aux articles 5 à 18 de l’annexe de la norme.  Imaginons que je n’ai pas de politique de gestion des incidents, il me faudra à ce titre, en rédiger une. Je devrais également sur le même sujet pouvoir démontrer que la politique est mise en œuvre au travers d’une procédure et d’une consolidation des incidents de sécurité. Les utilisateurs devront également avoir été informés de la manière dont ils doivent signaler ces incidents, par quel canal, de quelle façon, à quel moment. Sur ce volet, les activités peuvent être partagées entre Synetis et vous. Synetis se concentrant plutôt sur la fourniture des politiques de sécurité manquantes ; les procédures étant plutôt de votre ressort compte tenu du fait que les opérationnels qui ont déjà « tout dans la tête » mais jamais pris le temps de le formaliser iront beaucoup plus vite.

Votre plan d’actions comporte 200 lignes, comment procéder ?

Une organisation quasi militaire doit être mise en place. Chaque thématique des articles 5 à 18 doit être portée par un responsable clairement désigné en charge de mettre en œuvre les actions du plan. La Direction Juridique, par exemple, sera chargée de l’article 18-1 « Conformité aux exigences légales et règlementaires ».

Il s’agira donc de suivre dans la durée l’avancement et l’aboutissement des actions du plan tout en s’assurant que les livrables produits sont conformes à l’attendu normatif.

Un double rôle de Chef d’orchestre et de contrôle en mode agile doit donc être assuré.

La comitologie joue donc un rôle de premier plan dans la conduite du projet. Il mobilise une équipe de 3 à 4 personnes à temps plein sur une durée de 9 mois.

En parallèle du diagnostic, un autre élément d’entrée du plan d’actions est constitué de l’analyse de risques et en sortie du Plan de Traitement des Risques qui vient intégrer le plan d’actions par les mesures de traitement des risques résiduels.

Le Plan de Traitement des Risques peut être étalé sur 3 ans en commençant l’année N par traiter les risques résiduels majeurs non acceptables.

A quel moment suis-je prêt à me faire certifier ?

L’ensemble des exigences et pré requis de la norme 27001 doivent être validés et le Plan de Traitement des Risques de l’année N mis en œuvre. Les mesures de sécurité privilégiées pour le traitement des risques doivent, selon le langage, avoir tourné au moins une fois. Tourné signifiant avoir réalisé un cycle (ou proche de) selon le modèle PDCA.

Exemple :

Plan : Je définis mon plan de sensibilisation.

DO : Je le mets en œuvre auprès de la population ciblée, end users par exemple.

Check : Je contrôle que toute la population cible visée a bien suivi une session de sensibilisation (signature en présentiel) ou je contrôle via un phishing.

Act : J’améliore mon dispositif et/ou le contenu de ma sensibilisation si, des incidents de sécurité, montrent que des messages supplémentaires doivent être passés.

Quels sont les facteurs clés de succès ?

• Le choix de Synetis pour vous accompagner (par un Directeur de projet expert du sujet et une équipe certifiée Lead Implementor) ;
• Le soutien et l’engagement de votre Direction ;
• La nomination d’un Chef de projet interne à votre entreprise assurant la coordination et le lien entre vous et nous ;
• La formation du Chef de projet et de l’équipe à l’implémentation du SMSI (Lead Implementor 27001) ;
• La formation d’un auditeur interne ou d’une équipe d’audit à l’audit de SMSI (Lead Auditor 27001) ;
• L’engagement de l’entreprise et de toutes les parties prenantes impliquées sur le projet ;
• Un périmètre clairement défini, pertinent et réaliste ;
• Une identification et le traitement des risques majeurs ;
• Un plan d’actions réaliste en charges et durées ;
• Le maintien de la mobilisation dans le temps (9 à 12 mois) ;
• De la précision et de la rigueur sur les preuves fournies ;
• Apprendre à travailler différemment en traçant toutes vos actions.

Quel budget pour mon entreprise ?

On m’a souvent posé la question et la réponse est : frustrante. En effet, Le combien dépend du niveau de maturité de votre entreprise. C’est la raison pour laquelle je recommande, d’engager (ou de vous engager vis-à-vis d’un partenaire) sur une première phase de diagnostic de maturité et non sur la totalité du projet.

Pour quelles raisons ?

Vous engager avec un partenaire sur la totalité du projet n’est pas raisonnable, les hypothèses de travail et votre niveau de maturité actuel n’étant pas connus. L’investissement interne ou externe est souvent sous-estimé tant sur le plan humain que financier. Certains projets s’arrêtent donc en sortie de phase de diagnostic (mais c’est mieux), une fois que l’entreprise a pris conscience de la marche trop haute à franchir. Donner un diagnostic clair à la Direction Générale permet donc l’arbitrage et la décision (Enjeux/Coûts).

La tentation peut aussi, à ce moment-là, être grande de revoir le périmètre pour se dire en substance : « je réduis mon périmètre donc je réduis mes charges ». Je vous mets en garde ici pour deux raisons. D’une part, les charges ne sont pas forcément compressibles pour toutes les activités (livrables obligatoires et transverses requis par la norme), d’autre part, le périmètre est un livrable clé du SMSI, devant être justifiable et justifié auprès de l’auditeur de certification accrédité qui viendra vous auditer. Le partenaire vous proposant ceci, reste-t-il engagé vis-à-vis de vous sur l’obtention de votre certification (engagement de résultat) … ?

Autre tentation : vous transférer les charges pour minimiser le coût de la prestation. Avez-vous la capacité réelle à prendre en charge les activités transférées ? Ce que j’ai vécu dans une vie antérieure à Synetis : un projet (dont j’ai hérité malheureusement) tournant au ralenti faute de disponibilités des équipes internes et d’un budget sous dimensionné pour un niveau de maturité faible. Les 3 interlocuteurs étaient respectivement Directeur Financier (faisant office de RSSI), CTO (Chief Technical Officer), Happiness Officer (faisant office de Chef de projet SMSI).

Ne pas oublier non plus que le SMSI doit être maintenu en conditions opérationnelles donc prévoir un budget dit d’amélioration continue pour les années N+2 et N+3 sans oublier non plus le coût de la certification initiale et des audits de revues annuelles.

Idées reçues

« Ma structure est trop petite »

J’ai eu l’occasion de mettre en place un SMSI certifiant pour une TPE de 5 personnes.

« Je ne vise pas de certification donc aucun intérêt pour mon entreprise »

Au-delà de la certification, les entreprises se sont d’une part, très largement appropriées le modèle de Gouvernance et le cycle d’amélioration continue (PDCA Roue de Deming) et d’autre part inspirées des mesures de sécurité de la norme ISO/CEI 27002. Le RSSI doit définir le cadre de référence Cyber sécurité (activité directe), accompagner et déléguer sa mise en œuvre aux acteurs de l’entreprise (activité indirecte), contrôler et mesurer son efficacité (activité directe), maintenir en conditions opérationnelles (activité directe et indirecte).

Un RSSI doit être en permanence capable de visualiser et d’analyser simplement la situation sur un sujet donné. Sur mon sujet, suis-je en phase de définition, de mise en œuvre, de contrôle ou d’amélioration ?

« Le SMSI c’est l’affaire du RSSI »

Comme vous l’avez compris et en conclusion, le SMSI est un projet d’entreprise. Il est en cela très bénéfique à l’entreprise pour passer d’un mode, c’est le RSSI, à nous sommes tous concernés par la sécurité de notre entreprise, chacun à notre niveau et selon nos responsabilités.