Système de management de la sécurité de l'information

Un système de management de la sécurité de l'information (SMSI), désigné en anglais par l'acronyme ISMS (Information Security Management System), est un ensemble cohérent de politiques, processus, procédures et contrôles qu'une organisation met en place pour gérer la sécurité de ses informations selon une approche systématique fondée sur les risques. La norme internationale de référence, ISO/IEC 27001, en définit les exigences et permet une certification par tierce partie. Le SMSI repose sur trois propriétés fondamentales de l'information : la confidentialité, l'intégrité et la disponibilité, souvent désignées par l'acronyme anglais CIA (Confidentiality, Integrity, Availability).

Le SMSI couvre l'ensemble des mesures organisationnelles, humaines, physiques et technologiques concourant à la protection de l'information au sein d'une organisation. Son périmètre peut englober la totalité de l'entité ou se limiter à un département, un site géographique, un processus métier ou un système d'information particulier. La délimitation précise du périmètre constitue l'une des premières décisions de tout projet de déploiement et conditionne directement l'étendue de la certification obtenue.

Les trois propriétés fondamentales de la sécurité de l'information sont :

• Confidentialité : seules les personnes autorisées accèdent aux informations.
• Intégrité : les informations ne sont modifiées que par des processus ou des personnes autorisés.
• Disponibilité : les informations et les systèmes associés sont accessibles aux utilisateurs autorisés lorsqu'ils en ont besoin.

Certaines organisations y ajoutent l'authenticité, la traçabilité (accountability) et la non-répudiation, notamment dans des contextes réglementaires ou sectoriels spécifiques.

ISO/IEC 27001 spécifie les exigences pour l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un SMSI. Publiée pour la première fois en 2005 par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC), elle a été révisée en 2013 puis en 2022. La version ISO/IEC 27001:2022 restructure les mesures de sécurité de son annexe A en quatre thèmes — organisationnels, humains, physiques et technologiques — et en réduit le nombre de 114 à 93 contrôles, tout en introduisant 11 contrôles inédits portant sur des sujets tels que l'intelligence sur les menaces, la sécurité du cloud et la préparation aux cyberattaques.

La norme adopte la Structure de haut niveau (HLS, High Level Structure) commune aux référentiels ISO de systèmes de management, ce qui facilite son intégration avec d'autres normes telles qu'ISO 9001 (qualité) ou ISO 22301 (continuité d'activité).

ISO/IEC 27002 constitue le guide de mise en œuvre associé à ISO/IEC 27001 : pour chacun des 93 contrôles de l'annexe A, elle détaille les attributs, les objectifs et les bonnes pratiques d'implémentation. Bien qu'elle ne soit pas une norme de certification en elle-même, son utilisation est recommandée pour sélectionner et adapter les mesures de sécurité au contexte spécifique de l'organisation.

La famille ISO/IEC 27000 comprend plusieurs dizaines de normes complémentaires. Parmi les plus utilisées :

• ISO/IEC 27000 : vocabulaire et définitions communes à l'ensemble de la famille.
• ISO/IEC 27017 : contrôles de sécurité spécifiques aux services en nuage (cloud).
• ISO/IEC 27035 : gestion des incidents de sécurité de l'information.
• ISO/IEC 27018 : protection des données à caractère personnel dans les environnements cloud public.
• ISO/IEC 27701 : extension du SMSI en système de management de la protection de la vie privée (PIMS), aligné avec les exigences du RGPD.
• ISO/IEC 27005 : lignes directrices pour la gestion des risques liés à la sécurité de l'information.

Bien que la version 2013 d'ISO/IEC 27001 n'impose plus le Cycle PDCA (Plan-Do-Check-Act, ou roue de Deming) comme structure narrative explicite, ce cycle d'amélioration continue demeure au cœur de la démarche SMSI :

• Plan : définir le périmètre, analyser les risques, sélectionner les contrôles adaptés.
• Do : implémenter et opérer les contrôles retenus, former les équipes.
• Check : surveiller, mesurer et auditer l'efficacité du SMSI.
• Act : prendre des actions correctives et d'amélioration sur la base des résultats observés.

L'analyse et le traitement des risques constituent le cœur méthodologique du SMSI. La démarche comprend quatre étapes :

1. L'identification des actifs informationnels et de leurs propriétaires.
2. L'identification des menaces pesant sur chaque actif et des vulnérabilités exploitables.
3. L'évaluation de la vraisemblance et de l'impact potentiel de chaque scénario de risque.
4. La décision de traitement pour chaque risque : réduction (mise en œuvre de contrôles), acceptation, transfert (assurance, externalisation) ou refus (suppression de l'activité concernée).

La Gestion des risques informatiques s'appuie sur des méthodologies reconnues. En France, EBIOS Risk Manager, développée et maintenue par l'ANSSI, constitue la méthode nationale de référence, compatible avec ISO/IEC 27005. La méthode MEHARI, publiée par le CLUSIF, est également utilisée dans de nombreuses organisations françaises.

La politique de sécurité de l'information (PSI) est le document directeur du SMSI, approuvé par la direction générale. Elle fixe les objectifs de sécurité, les principes directeurs et les engagements de l'organisation. Elle est déclinée en politiques thématiques — contrôle d'accès, cryptographie, gestion des incidents, télétravail, gestion des fournisseurs — et en procédures opérationnelles détaillées.

La Déclaration d'applicabilité (DdA, Statement of Applicability ou SoA) est un document obligatoire selon ISO/IEC 27001. Elle liste l'ensemble des 93 contrôles de l'annexe A, indique si chacun est retenu ou exclu, et justifie les exclusions. Elle constitue le lien formel entre l'évaluation des risques et le plan de traitement, et représente un document central lors de l'audit de certification.

La version 2022 d'ISO/IEC 27001 organise ses 93 contrôles en quatre catégories :

Catégories de contrôles selon ISO/IEC 27001:2022

Catégorie	Nombre de contrôles	Exemples
Organisationnels	37	Politiques de sécurité, gestion des fournisseurs, intelligence sur les menaces
Humains	8	Sensibilisation, formation, processus disciplinaire, télétravail
Physiques	14	Contrôle d'accès physique, protection des équipements, sécurité des câblages
Technologiques	34	Authentification multifacteur, chiffrement, SIEM, Gestion des vulnérabilités

Les contrôles technologiques couvrent notamment :

• La Gestion des identités et des accès (IAM, Identity and Access Management).
• La Gestion des vulnérabilités et la gestion des correctifs logiciels.
• Le déploiement de pare-feux, de VPN et de zones démilitarisées (DMZ).
• La Sauvegarde informatique et le Plan de reprise d'activité informatique.
• La Signature numérique pour garantir l'authenticité et l'intégrité des échanges.
• La supervision via des plateformes SIEM et des centres opérationnels de sécurité (SOC).

Un projet de mise en œuvre d'un SMSI suit généralement les étapes suivantes :

1. Cadrage : définition du périmètre, identification des parties prenantes, engagement formel de la direction.
2. État des lieux (gap analysis) : évaluation de l'écart entre les pratiques existantes et les exigences d'ISO/IEC 27001.
3. Évaluation des risques : inventaire des actifs, analyse des menaces, cotation de la vraisemblance et de l'impact.
4. Plan de traitement : sélection des contrôles, rédaction de la Déclaration d'applicabilité.
5. Implémentation : déploiement des contrôles techniques et organisationnels, rédaction des politiques et procédures.
6. Audit interne : vérification de la conformité et de l'efficacité avant la certification.
7. Revue de direction : bilan annuel des performances du SMSI et décisions d'amélioration.
8. Audit de certification : audit externe conduit par un organisme accrédité.

La dimension humaine représente un vecteur de risque majeur. Selon le Verizon Data Breach Investigations Report (DBIR) 2023, 74 % des incidents de sécurité impliquent une composante humaine. Le SMSI exige un programme de sensibilisation régulier couvrant les risques d'hameçonnage (phishing), les politiques de gestion des mots de passe, les procédures de déclaration des incidents et les règles d'utilisation des équipements. La fréquence et le contenu des formations sont documentés et font l'objet de mesures d'efficacité.

La certification ISO/IEC 27001 est délivrée par des organismes de certification accrédités par un organisme national d'accréditation (en France, le COFRAC — Comité français d'accréditation). Le processus se déroule en deux phases d'audit :

• Audit de stade 1 (revue documentaire) : l'auditeur vérifie que les politiques, procédures et la Déclaration d'applicabilité sont établies, documentées et conformes aux exigences de la norme.
• Audit de stade 2 (audit sur site) : l'auditeur évalue l'efficacité opérationnelle du SMSI, interroge les équipes et vérifie la mise en œuvre effective des contrôles.

La certification est valable trois ans. Des audits de surveillance annuels maintiennent la validité du certificat ; un audit de renouvellement est conduit à l'issue du cycle triennal.

Une organisation peut choisir de certifier un périmètre partiel : un centre de données, une ligne de service spécifique, une filiale. La portée est précisément décrite dans la documentation du SMSI et figure explicitement dans le certificat délivré, permettant aux clients et partenaires de vérifier le champ effectivement couvert.

La Gouvernance de la sécurité de l'information du SMSI implique plusieurs rôles complémentaires :

Rôle	Responsabilités principales
Direction générale	Engagement institutionnel, allocation des ressources, approbation de la politique de sécurité
Responsable de la sécurité des systèmes d'information (RSSI)	Pilotage du SMSI, coordination des actions de sécurité, reporting à la direction
Propriétaires d'actifs	Classification et protection des informations dans leur périmètre de responsabilité
Équipes IT et SOC	Opération des contrôles techniques, gestion des alertes et des incidents
Auditeurs internes	Vérification indépendante de l'efficacité et de la conformité du SMSI

Dans les grandes organisations, le RSSI peut s'appuyer sur des ingénieurs en cybersécurité spécialisés et sur des équipes de type Red team pour tester la robustesse des défenses par des tests d'intrusion. Les audits de cybersécurité permettent de valider périodiquement le niveau de maturité atteint.

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, impose aux responsables de traitement et sous-traitants la mise en place de mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel (article 32). Un SMSI certifié ISO/IEC 27001 constitue une base solide pour démontrer cette conformité, bien que le RGPD impose des obligations complémentaires spécifiques : tenue d'un registre des traitements, réalisation d'analyses d'impact relatives à la protection des données (AIPD), notification des violations de données à la CNIL dans un délai de 72 heures. La norme ISO/IEC 27701 étend le SMSI en intégrant les exigences propres à la protection de la vie privée.

La Directive NIS2 (Network and Information Security 2), publiée au Journal officiel de l'Union européenne en décembre 2022, renforce les obligations de cybersécurité pour les entités essentielles (EE) et les entités importantes (EI) dans dix-huit secteurs critiques (énergie, transports, santé, finances, infrastructures numériques, etc.). Elle exige notamment la mise en place de mesures de gestion des risques et la notification des incidents significatifs dans un délai de 24 heures pour une alerte précoce et de 72 heures pour un rapport complet. Un SMSI aligné sur ISO/IEC 27001 facilite la satisfaction de ces exigences et peut réduire la charge de mise en conformité.

En France, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) publie des guides méthodologiques, des référentiels et des bonnes pratiques qui complètent les normes ISO. Son référentiel EBIOS Risk Manager est la méthode nationale d'analyse de risques recommandée, compatible avec ISO/IEC 27005. Le CERT-FR, centre gouvernemental de veille, de détection et de réponse aux cyberattaques, émet des alertes et bulletins de sécurité exploités dans le cadre de la Gestion des vulnérabilités et de la Réponse aux incidents de sécurité.

L'efficacité d'un SMSI se mesure par des indicateurs quantifiables et régulièrement suivis. Les métriques courantes incluent :

• Nombre d'incidents de sécurité déclarés et traités dans les délais contractuels ou réglementaires.
• Taux de couverture de la formation à la sécurité (proportion de collaborateurs ayant suivi la sensibilisation annuelle).
• Délai moyen de correction des vulnérabilités selon leur criticité (par exemple : 15 jours pour les vulnérabilités critiques, 30 jours pour les hautes, 90 jours pour les moyennes).
• Résultats des tests d'intrusion et des exercices de réponse aux incidents.
• Taux de disponibilité des systèmes critiques au regard des objectifs définis dans le Plan de continuité d'activité.
• Nombre de non-conformités identifiées lors des audits internes et délai moyen de résolution.

La norme ISO/IEC 27004 fournit des lignes directrices pour la définition et le recueil de ces métriques dans un programme de mesure structuré.

• NIST Cybersecurity Framework : cadre américain publié par le National Institute of Standards and Technology (NIST), structuré autour de cinq fonctions (Identifier, Protéger, Détecter, Répondre, Récupérer). Principalement utilisé aux États-Unis, il est complémentaire à ISO/IEC 27001 pour les organisations ayant une présence internationale.
• Modèle Zero Trust : approche architecturale qui abandonne la confiance implicite accordée au réseau interne et renforce les contrôles à chaque point d'accès. Son déploiement s'articule naturellement avec les exigences du SMSI en matière de Gestion des identités et des accès.
• Intelligence artificielle en cybersécurité : les outils d'intelligence artificielle sont intégrés dans les processus SMSI pour la détection d'anomalies comportementales dans les plateformes SIEM, la corrélation automatisée d'alertes et la prédiction de risques liés aux ransomwares et autres menaces évoluées.
• SOC 2 : certification américaine de l'AICPA portant sur les contrôles de sécurité, disponibilité, intégrité du traitement, confidentialité et vie privée des prestataires de services en nuage. Souvent complémentaire à ISO/IEC 27001 pour les organisations s'adressant à une clientèle nord-américaine.