En 2018, la Direction Générale d’ASSIA s’est engagée dans la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) conforme à la norme ISO 27001 et désigné Erwan PHILIPPOT son RSSI, comme maître d’œuvre du projet de mise en place de cette démarche. Retour d’expérience.
La mise en place d’un Système de Management de la Sécurité de l’Information (SMSI) pour ASSIA, s’inscrit dans une politique générale d’amélioration continue et de qualité attendue par nos adhérents et clients.
Voici les 5 étapes clés de son implémentation :
Étape 1 : Compréhension des exigences de la norme
(second semestre 2018)
La première étape de la mise en place d’un SMSI conforme à la norme ISO 27001 chez ASSIA, nous a conduits dans un premier temps à comprendre les exigences même de la norme. Cela implique de se familiariser avec les principes fondamentaux de la sécurité de l’information, tels que la gestion des risques.
Étape 2 : Identification des actifs et des risques
(Octobre 2018 – Février 2019)
Ensuite, nous avons procédé à l’identification des actifs informatiques critiques de notre organisation et évaluer les risques associés à ces derniers. Pour cela, nous avons mené une analyse de risques afin d’identifier les menaces potentielles, les vulnérabilités et les impacts sur l’ensemble du périmètre de nos activités.
Étape 3 : Développement des politiques et des procédures
(Octobre 2018 – Mai 2019)
Sur la base des résultats de l’analyse de risques, des politiques et des procédures de sécurité de l’information ont été développées pour guider les activités au sein d’ASSIA. Ces dispositifs sont conformes aux exigences de la norme ISO 27001 et reflètent les objectifs de sécurité de l’information définis par ASSIA.
Étape 4 : Mise en œuvre des mesures de sécurité
(Novembre 2018 – Octobre 2019)
La quatrième étape a consisté pour ASSIA à mettre en œuvre des mesures de sécurité techniques et organisationnelles pour protéger les actifs informatiques de l’organisation contre les menaces.
Étape 5 : Surveillance et amélioration continue
(depuis octobre 2019 …)
Une fois le SMSI mis en place, il est essentiel de surveiller en permanence son efficacité et de chercher à l’améliorer continuellement. Cela implique de mener des audits internes réguliers pour évaluer la conformité aux politiques et procédures de sécurité de l’information, ainsi que de répondre aux incidents de sécurité et de mettre en œuvre des mesures correctives lorsque cela est nécessaire.
Dates clés :
- Obtention de la certification ISO 27001 – Juin 2020
- Dernier audit de surveillance ISO 27001 – Avril 2024
La vision du RSSI
En charge du management de la sécurité de l’information et pilote des opérations de certifications chez ASSIA, Erwan PHILIPPOT nous livre sa vision de la mise en place de cette démarche depuis 2018.
« Après quelques années de pratique, je trouve l’approche d’un SMSI basé sur la norme ISO 27001 est très intéressante. Au cœur de cette démarche, se trouve le cycle d’amélioration continue PDCA (Plan, do, check, act) : un processus itératif qui permet aux organisations d’optimiser en permanence leur posture de sécurité de l’information.
D’un premier ressenti théorique, j’ai immédiatement intégré que cette approche itérative de la gestion de la sécurité de l’information, basée sur des contrôles et des audits réguliers permet d’identifier, d’atténuer les risques de manière proactive, d’améliorer en permanence les pratiques de sécurité et par conséquent renforce la résilience face aux menaces émergentes »
La mise en place d’un SMSI est un investissement essentiel pour toute organisation qui cherche à protéger ses informations sensibles et à garantir sa pérennité dans un environnement de plus en plus numérique et complexe. En adoptant une approche proactive de la sécurité de l’information, ASSIA se prémunit non seulement contre les cybermenaces, mais aussi renforce la confiance de ses clients et adhérents et améliore leur efficacité opérationnelle.