Alyne soutient votre organisation dans la conception et le maintien d'un système de gestion de la sécurité de l'information (SGSI) qui s'aligne sur les normes communes de gestion de la sécurité de l'information et de la cybersécurité.
Introduction
La conception et le maintien d'un système de gestion de la sécurité de l'information (SGSI) aligné sur les normes communes de gestion de la sécurité de l'information et de la cybersécurité, telles que la norme ISO/IEC 27001:2013, la cybersécurité du NIST ou les cadres SOC2, sont communs à presque toutes les organisations qui ont besoin de protéger les informations de leurs entreprises et de leurs clients. Chez Alyne, nous accompagnons régulièrement nos clients à travers notre Software as a Service (SaaS) dans cette démarche et nous avons observé certains défis communs et analysé certains facteurs de succès :
Défis communs
- Ciblage à 100%
Un SMSI ne signifie pas que je doive atteindre une maturité de 100 % pour chaque contrôle dès le départ. Cela signifie seulement que je dois disposer d'un processus de gestion approprié pour gérer l'ensemble du champ d'application du SMSI. Cela signifie généralement qu'il faut gérer activement les risques liés à l'information et les cyberrisques et définir des actions appropriées ou des acceptations de risques. - Observer les mesures techniques
Souvent, la gestion de la sécurité de l'information est trop réduite à des mesures techniques individuelles, parce que celles-ci sont facilement compréhensibles. Ce qu'un SMSI nous apprend, c'est que la combinaison de mesures techniques et organisationnelles, associée à une gestion engagée, est ce qui augmente réellement la posture de sécurité. - Cocher la case
Réduire un SGSI à une simple case à cocher est voué à l'échec. Essayer d'externaliser cette tâche de la direction vers une autre partie de l'organisation est également voué à l'échec. Ce n'est pas pour rien qu'on l'appelle un système de gestion. En tant que direction, soit vous participez, soit vous ne commencez pas du tout.
Facteurs de réussite
- Intégrer de manière organique
Intégrez le SMSI à l'agenda régulier des interactions que vous avez déjà avec les parties prenantes concernées, plutôt que de programmer de nouvelles réunions récurrentes. De cette manière, vous minimisez les perturbations et tirez parti des points de contact existants pour formaliser les résultats du SMSI. - Exploiter les synergies du cadre
N'abordez pas le SMSI de manière isolée. Du point de vue des processus, des personnes et de la technologie, il existe un large chevauchement avec d'autres sujets connexes tels que la confidentialité des données, la gestion des risques opérationnels, la gestion de la continuité des activités, l'audit et bien d'autres encore. Votre investissement en temps et en budget sera bien mieux utilisé si vous abordez la capacité du SMSI dans ce contexte plus large. - Résoudre dans le sprint
Réservez du temps dans votre calendrier et réalisez une grande partie de la mise en œuvre ou de la révision du SMSI en une seule fois sur quelques jours. Le temps total passé sur le sujet est réduit au minimum. Si ces activités s'éternisent, vous perdez rapidement votre élan.
Pour plus d'informations et pour accéder aux ressources ISMS d'Alyne alignées sur les normes ISO 27001, cliquez ici.
