Qu’est-ce qu’un SMSI ?
À l'ère des données et des informations omniprésentes, il est essentiel de sécuriser vos documents et contenus tels que les vidéos, contrats, données client et informations de compte. La gestion de la sécurité de l’information sécurise ce contenu, en le protégeant de toute intrusion tierce tout en garantissant que les bonnes personnes y ont accès. Un système de management de la sécurité de l'information (SMSI) assure la sécurité de votre contenu et vous prépare à réagir en cas de violation de données.
Certains protocoles doivent être suivis dans la mise en œuvre de votre SMSI. Si vous n'avez pas encore de SMSI, cet article explique ce qu'implique un SMSI et ce dont vous avez besoin pour l’adopter.
Définition du SMSI
Un système de management de la sécurité de l'information, ou SMSI, comprend les politiques et procédures que votre entreprise met en place pour protéger son contenu, réduire les risques et assurer la continuité de votre activité même en cas de faille du système.
Les enjeux de la sécurité des données en entreprise
Quand on évoque la gestion de la sécurité de l'information, trois thématiques principales émergent.
- Confidentialité : le contenu privé doit le rester. Vous devez protéger vos documents des tiers qui pourraient essayer de vendre votre contenu ou de l’utiliser à des fins personnelles. Les mots de passe, le chiffrement et les contrôles utilisateur sont les premiers moyens de préserver la confidentialité de votre contenu.
- Intégrité : si un tiers accède à votre contenu, vous devez vous assurer qu’il ne peut pas le modifier sans autorisation. Garantir la confidentialité de votre contenu permet de protéger son intégrité, mais vous devez aussi pouvoir retrouver les versions précédentes si vous soupçonnez des modifications non autorisées.
- Disponibilité : malgré le besoin de sécurité, votre contenu doit rester accessible aux personnes qui l'utilisent. Vous devez donc en garantir la disponibilité. Créez des sauvegardes de vos contenus et assurez-vous que les utilisateurs disposent des droits d’accès et de modification appropriés.
La portée de votre SMSI dépend du type et de la quantité de données que vous devez protéger. De manière générale, un SMSI repose sur six piliers :
1. Planification stratégique
Votre entreprise a besoin d'une stratégie fiable pour minimiser les risques et protéger votre contenu. Une planification stratégique est la base d'un déploiement SMSI réussi.
2. Gouvernance, risques et conformité
Cet axe garantit que vos processus de sécurité de l'information correspondent aux objectifs de votre entreprise. Il vous permet également de suivre les règles de conformité et les directives, qui peuvent changer régulièrement, tout en réduisant les risques.
3. Contrôles de sécurité
Les contrôles de sécurité peuvent être au cœur du SMSI de votre entreprise. Il s’agit de mesures que vous mettez en place pour réduire les risques tels que l'accès non autorisé ou le vol. Les contrôles peuvent être préventifs, correctifs ou détectifs.
4. Gestion des risques tiers
La gestion des risques tiers vous donne un certain contrôle sur les actions des autres intervenants qui pourraient avoir un impact sur votre contenu ou votre entreprise dans son ensemble. Par exemple, un éditeur de logiciels tiers pourrait augmenter votre exposition aux risques de violation de données, ou les actions d'un fournisseur avec lequel vous travaillez pourraient affecter la réputation de votre entreprise.
5. Gestion du programme de sécurité
Le programme de sécurité de votre entreprise est l'ensemble de ses politiques, activités, processus et projets qui entrent dans le cadre du SMSI. L'objectif d'un tel programme est d'assurer le respect des trois axes que sont la confidentialité, l’intégrité et la disponibilité.
6. Gestion des audits
Une bonne gestion des audits vous permet d'effectuer des audits rapidement et facilement. En disposant d'un programme de gestion des audits, vous pouvez rapidement détecter les risques et réagir de manière adéquate aux menaces.
Le rôle du SMSI : pourquoi le mettre en place dans votre entreprise ?
Les violations de données et le vol de contenu peuvent nuire aux individus ou à l'entreprise dans son ensemble. Le vol d'informations peut également nuire à votre réputation. Si votre contenu est modifié, cela peut nuire à la qualité de vos services ou de vos produits, et par ricochet à votre réputation.
Un SMSI vise à empêcher ou à stopper les accès non autorisés, à protéger l'intégrité de votre contenu et à garantir que les bonnes personnes y ont accès. Vous avez besoin d'un SMSI pour limiter les risques et garder une longueur d'avance sur les pirates et les voleurs potentiels de données. Selon votre secteur d'activité, un SMSI peut être indispensable pour être conforme aux réglementations.
Un SMSI devra être déployé à tous les niveaux de l'entreprise. Chacun doit comprendre l’importance cruciale de la sécurité des données, car le succès du SMSI dépend de l’adhésion de l’ensemble des équipes. Voici les responsabilités de chaque département, et les avantages qu’il pourra tirer de ce système.
Les cadres et la direction
Au niveau de la direction, impliquez au moins une personne, telle qu'un responsable de la sécurité ou un directeur de la technologie, chargée de superviser le SMSI et de s'assurer que le système respecte les normes et les réglementations applicables. Ce responsable devra communiquer avec les autres membres de l'équipe dirigeante, les chefs de service et les cadres pour souligner l'importance du SMSI et encourager les équipes à travailler en toute conformité.
Les ressources humaines
Le service des ressources humaines joue un rôle important quand il s'agit de communiquer les attentes de la direction aux employés et aux nouvelles recrues. La sécurité des informations doit faire partie du processus de formation et d'intégration de tous les nouveaux membres de l'équipe, afin qu'ils comprennent l'importance des différentes règles et sachent ce que l'on attend d'eux. Par exemple, les RH peuvent formaliser le fait de ne pas sortir de contenu confidentiel de l'entreprise ou de ne pas installer de logiciels non approuvés sur les appareils professionnels.
Le service informatique
Le service informatique développe les politiques et dispositifs de sécurité qui servent de colonne vertébrale au SMSI de l'entreprise. L'équipe informatique peut également surveiller le comportement des employés, détecter les activités inhabituelles et intervenir lorsque quelqu'un essaie d'installer un produit non autorisé sur les appareils de l'entreprise. Elle peut bloquer certains sites ou interdire certains téléchargements afin de mieux protéger le contenu d'une entreprise.
Le service finances
Le service financier traite de nombreuses informations confidentielles, qu'il s'agisse d'informations sur les comptes bancaires de l'entreprise ou de données privées de vos clients. Il doit comprendre les processus et les politiques en place pour assurer la sécurité de ce contenu. Les équipes financières et comptables doivent également s'assurer de respecter les réglementations pour protéger les données financières et minimiser la fraude.
Le service client
Votre équipe du service client est le premier point de contact entre votre entreprise et vos clients lorsque ceux-ci ont un problème ou en cas de violation de données. Les agents du service client doivent être tenus au courant du déploiement de votre SMSI et de ses caractéristiques et exigences afin de pouvoir répondre rapidement aux préoccupations ou aux problèmes de la clientèle. Un service client bien informé peut protéger la réputation de votre entreprise ou la restaurer après une violation de données ou un problème de sécurité.
L'Organisation internationale de normalisation (ISO) publie une norme 27001, qui décrit les exigences relatives aux systèmes de management de la sécurité de l’information. En suivant les exigences de la norme ISO/IEC 27001, vous pouvez assurer la sécurité de votre contenu, notamment les informations sur vos employés, les données relevant de la propriété intellectuelle, le contenu tiers ainsi que vos informations financières. ISO 27001 est la seule norme de ce type reconnue et certifiable à l'échelle internationale. En obtenant la certification ISO 27001, votre entreprise démontre l'efficacité de son SMSI.
La norme ISO 27001 détaille les contrôles et systèmes de gestion dont une entreprise a besoin pour être certifiée. Il existe plus de 100 contrôles répertoriés au sein de la norme, chacun étant conçu pour aider votre entreprise à détecter, gérer et traiter les risques. Les contrôles sont divisés en 14 groupes et 35 catégories. Une version antérieure de la norme exigeait que certains contrôles soient mis en place pour obtenir la certification, mais la nouvelle version a supprimé cette exigence.
Certains des contrôles de la norme ISO 27001 incluent :
- Le chiffrement
- Les relations fournisseurs
- La sécurité physique et environnementale
- La sécurité opérationnelle
- Les politiques de sécurité de l’information
Les dispositions de la norme relevant du système de management sont destinées à vous aider à mettre en œuvre un SMSI, à le maintenir et à l'améliorer.
Les étapes de la mise en place d’un SMSI selon la norme ISO 27001
Pour obtenir une certification ISO 27001, vous devrez suivre plusieurs étapes afin de satisfaire aux exigences de l’audit initial. La certification est valable 3 ans, avec un audit de surveillance chaque année et un audit de renouvellement à la fin de la période.
Afin d’obtenir la certification, vous devrez bien entendu préparer votre politique de sécurité et de gestion de vos données en suivant un plan bien établi et discuté en amont avec les intervenants de l'entreprise impliqués.
Le programme peut se dérouler selon le schéma simple de la roue de Deming ou Plan-Do-Check-Act : Planifier, Faire, Vérifier, Agir. Il correspond aux étapes suivantes et permet de formaliser le parcours vers la certification.
- 1. Définir la politique et le champ d'action de votre SMSI
- Identifier et évaluer les risques de sécurité
- Développer et appliquer la politique de sécurité
- Identifier les risques et mettre en place des mesures correctives
- Sélectionner les mesures de sécurité à mettre en place (ISO 27001 en propose 114 dans son annexe)
Contexte juridique au niveau européen et français
Le RGPD impose aux entreprises de contrôler leurs politiques en matière de sécurité des données et explicite certaines recommandations. La norme ISO/IEC 27001 vise notamment à garantir que les pratiques commerciales sont alignées sur ces recommandations. Ne pas appliquer les dispositions du RGPD peut avoir de lourdes conséquences légales et financières sur l'entreprise. C'est pourquoi la mise en place d’un SMSI dans le cadre de la norme ISO/IEC 27001 aide à garantir la conformité des opérations de l'entreprise.
Adopté par le Parlement européen le 12 mars 2019, le règlement européen du Cybersecurity Act poursuit un double objectif : l'adoption du mandat permanent de l'ENISA, l'Agence européenne pour la cybersécurité, et la mise en place d'un cadre européen de certification de cybersécurité, ce dernier étant crucial pour améliorer la sécurité des données au sein du marché numérique unique européen.
En France, la loi sur la cybersécurité s'applique et est obligatoire dans toutes ses dispositions. L'ANSSI, l'Agence nationale de la sécurité des systèmes d'Information assure la mission d'autorité nationale en matière de sécurité des systèmes d'information et sert donc de régulateur et de boussole pour le marché français.
Découvrez la puissance du Content Cloud
En développant une plate-forme sécurisée unifiée pour toutes vos données, Box vous permet de gérer l'ensemble du cycle de vie de votre contenu en vous proposant notamment des solutions de création de fichiers, modification et édition partagées, signature électronique de documents, classification et conservation. Collaborez facilement autour de votre contenu avec plusieurs types d'utilisateurs aussi bien internes qu'externes à votre entreprise. Nous vous garantissons une sécurité et une conformité évolutives sans faille pour protéger vos activités et votre contenu. Vous pouvez également profiter de 1 500 intégrations fluides ainsi que d’une gamme de fonctionnalités natives, comme Box Sign.
Le Content Cloud de Box vous permet d’organiser vos flux de travail et votre sécurité tout en offrant à vos équipes tous les outils dont elles ont besoin pour rester efficaces et productives, sur site ou en télétravail.
Contactez-nous sans attendre pour découvrir ce que Box peut faire pour vous.
Box s’engage à proposer des produits et services vous garantissant une confidentialité, une sécurité et une conformité sans égales. Cependant, veuillez noter que les informations fournies dans cet article ne sont pas destinées à constituer un conseil juridique. Nous vous recommandons d’exercer une diligence raisonnable quant à votre conformité aux lois applicables.