25
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
management imposent la mise en place de mécanismes d’amélioration continue favorisant la capitalisation sur les retours d’expérience. Troisième apport : la confiance Nous touchons enfin à la raison d’avoir un système de management : il fournit la confiance envers les parties prenantes. Qu’entendons-nous par parties prenantes ? Il s’agit de toute personne, groupe ou instance envers laquelle l’entreprise doit rendre des comptes (Par exemple : Les actionnaires, Les autorités de tutelle, Les clients, Les fournisseurs, Les partenaires, etc.). En fait, nous oublions trop souvent que la confiance est le vecteur qui permet toute relation entre un client et un fournisseur. Autant dire qu’il n’y aurait aucune activité économique sans la confiance. 4- Les systèmes de management de la sécurité de l’information (SMSI) Nous avons parlé de la partie SM (système de management) du SMSI. Parlons désormais de la partie SI (sécurité de l’information). Le principal objectif d’un SMSI est de faire en sorte de préserver la confidentialité, l’intégrité et disponibilité pour les informations les plus sensibles de l’entreprise. La norme ISO 27001 insiste sur ces notions. Ces derniers sont formellement définis dans la norme ISO 13335-1. Le SMSI est cohérent avec les autres systèmes de management de l’entité, notamment avec les systèmes de management de la qualité, de la sécurité des conditions de travail, et de l’environnement. Le SMSI inclut donc au minimum : Des éléments documentaires (politique, description des objectifs, cartographie des processus impactés, des activités de sécurité, et des mesures), La description de la méthode d’analyse des risques utilisée, Les processus impliqués dans la mise en œuvre de la sécurité de l’information, Les responsabilités relatives à la sécurité de l’information, Les ressources nécessaires à sa mise en œuvre, Les activités relatives à la sécurité de l’information, Les enregistrements issus des activités relatives à la sécurité de l’information, Les (relevés de) mesures prises sur les processus, Les actions relatives à l’amélioration de la sécurité de l’information. L’existence d’un SMSI dans l’organisme permet de renforcer la confiance dans le mode de gestion de la sécurité de l’information.