L’édito de cette semaine n’est pas basé sur l’actualité du moment en matière de sécurité des systèmes d’information mais sur un partage de réflexion sur mon actualité personnelle.
D’abord issu du domaine de la gestion des risques industriels, je développe une double compétence en gestion des risques informationnels. C’est donc avec un double point de vue que j’aborde la question de la gestion des risques et j’ai pu faire le constat que voici.
La gestion des risques humains et industriels est prise en compte de manière quasiment généralisée dans les entreprises françaises. De plus en plus couplée aux démarches qualité, l’entreprise a intégré à tous les niveaux dans son mode de fonctionnement et dans ses process la notion de risques produit, humain et technologiques. Les organismes ont également intégrés les bénéfices qu’ils pouvaient retirer dans la mise en place d’un système de management (qualité, santé et sécurité au travail, environnement) et de plus en plus des démarches de type « intégrée » (QHSE). ces dernières étant le plus souvent basée sur les normes ISO 9001, OHSAS 18001 et ISO 14001.
Ma question est donc la suivante : pourquoi ne pas également prendre en compte le risque lié au patrimoine informationnel de l’entreprise en s’appuyant par exemple sur la norme ISO 27001 ?
Il y aurait de multiples avantages, parmi lesquels :
– Les différents chapitres de ISO 27001 peuvent être facilement mis en parallèles avec ceux des normes précédemment citées.
– Une grande partie de la documentation peut être mise en commun et intégrée dans un unique système de GED
– Une réduction des coûts liés à la mise en place des différents Systèmes de Management
– Une meilleure sensibilisation au quotidien de l’ensemble des acteurs et l’intégration des problématiques SSI dans l’amélioration continue de l’entreprise.
Certes, cela ne règlerait pas tous les problèmes et nécessiterait quelques efforts en terme de formation des pilotes du Système de Management. Néanmoins, je pense que dans les entreprises de taille moyenne, cela peut être un bon moyen de gérer la quasi-totalité de ses risques et de faire appel, lorsque la situation l’exige, à des experts sur certaines composantes particulières.
Cédric D.
