Comprendre les 7 articles clés du SMSI (4 à 10)
L'ISO 27001 est la norme internationale de référence. Maîtrisez la structure HLS et les exigences fondamentales pour réussir votre certification.
Pour réussir sa certification, il est crucial de maîtriser les articles 4 à 10, qui constituent le cadre méthodologique du Système de Management de la Sécurité de l'Information (SMSI).
La structure suit la High Level Structure (HLS), facilitant l'intégration avec d'autres normes de gestion comme l'ISO 9001.
1. Gouvernance et Alignement Stratégique (Articles 4 & 5)
Article 4 - Contexte de l'organisation
Cette étape consiste à analyser les enjeux internes (culture, structure) et externes (lois, marché). L'organisation doit identifier ses parties intéressées et leurs exigences pour définir un périmètre (scope) précis et pertinent.
Voir comment établir votre contexte (Art. 4)Article 5 - Leadership
L'implication de la Direction est le moteur du SMSI. Elle doit porter la vision de la sécurité à travers une politique claire (PSSI), allouer les ressources nécessaires et définir les responsabilités (matrice RACI).
Comprendre le rôle du leadership (Art. 5)2. Planification et Maîtrise Opérationnelle (Articles 6 & 8)
Ces articles lient l'analyse stratégique à l'exécution technique via une gestion des risques rigoureuse.
Articles 6 & 8 - Risques et Fonctionnement
L'organisation doit identifier les menaces et vulnérabilités pour établir un Plan de Traitement des Risques (PTR). Cela aboutit à la Déclaration d'Applicabilité (SoA), document pivot listant les mesures de l'Annexe A retenues ou exclues.
Maîtriser l'approche par les risques (Art. 6 & 8)3. Support et Capital Humain (Article 7)
Article 7 - Support
La sécurité repose sur les ressources logistiques et humaines. Cet article traite de la gestion des compétences, de la communication et de la maîtrise des informations documentées. Un point vital est la transformation de la culture d'entreprise par la sensibilisation.
Gérer les ressources et la sensibilisation (Art. 7)4. Évaluation et Amélioration Continue (Articles 9 & 10)
Article 9 - Performance
Surveillance continue via des indicateurs (KPI) et réalisation d'audits internes. La Revue de Direction permet de valider l'efficacité du système.
Article 10 - Amélioration
Mise en place d'un cycle de progression constante. Toute faille ou non-conformité doit être analysée pour en supprimer la cause racine.
Évaluer et améliorer son SMSI (Art. 9 & 10)Questions clés sur la mise en œuvre
Pourquoi l'ISO 27001 est-elle le socle de NIS 2 et du HDS ?
La norme constitue environ 80 % du socle de conformité pour ces réglementations. En bâtissant un SMSI solide, vous anticipez les exigences de la directive européenne NIS 2 (résilience des entités essentielles) et de l'hébergement de données de santé (HDS).
Le lien entre ISO 27001, HDS et NIS 2Quelle est la différence entre "compétence" et "sensibilisation" ?
La compétence (7.2) s'assure que les experts (admin, RSSI) possèdent le savoir-faire technique. La sensibilisation (7.3) vise à ancrer les réflexes de sécurité chez tous les collaborateurs pour réduire les risques d'origine humaine (phishing, erreurs).
Focus sur les compétences et la formationComment gérer les non-conformités (Article 10.2) ?
Une non-conformité est une opportunité d'amélioration. Il faut identifier la cause racine (méthode d'Ishikawa ou des "5 Pourquoi") pour mettre en place une action corrective efficace qui empêchera la récurrence de l'incident.
Gérer les non-conformités et les actions correctivesBesoin d'aller plus loin ?
Découvrez nos formations ISO 27001 Lead Implementer en e-learning pour devenir autonome dans le déploiement de votre SMSI.
Devenir Lead Implementer