P.I.L.O.T.E

4 min de lecture

Clause 7 – Support

7.1 Ressources

Un SMSI ne peut exister sans ressources adaptées. La direction doit démontrer que les moyens humains, techniques et financiers nécessaires sont mis à disposition. Cela inclut le budget cybersécurité, les outils de supervision, mais aussi le temps alloué aux équipes pour gérer la sécurité.

Les organisations qui négligent cet aspect tombent rapidement dans le « SMSI papier » : un ensemble de documents sans réalité opérationnelle.

Warning

Erreur fréquente : limiter les ressources au seul RSSI. Sans moyens financiers ni relais dans les métiers, le SMSI ne peut être efficace.

7.2 Compétences

La norme impose de s’assurer que les collaborateurs impliqués dans le SMSI disposent des compétences nécessaires. Cela passe par la tenue d’un catalogue de compétences SSI, la mise en place de plans de formation et la certification de certains profils clés (CISSP, CISM, ISO 27001 Lead Implementer).

Exemple : une entreprise peut identifier un déficit de compétences en investigation forensique et décider de former ses administrateurs système ou de contractualiser avec un prestataire spécialisé.

Warning

Erreur fréquente : considérer que la seule expérience pratique suffit. Sans preuve de formation ou de certification, l’audit ISO 27001 identifie une non-conformité.

7.3 Sensibilisation

La politique de sensibilisation est une composante essentielle du SMSI. Tous les collaborateurs doivent comprendre leur rôle en matière de sécurité de l’information.
Cela peut inclure des sessions de formation, des campagnes de phishing simulé, des newsletters, et des ateliers pratiques.

En 2020, plusieurs hôpitaux européens attaqués par rançongiciels ont démontré que le manque de sensibilisation du personnel (ouverture d’e-mails malveillants, absence de procédures d’escalade) avait aggravé la crise.

Warning

Erreur fréquente : limiter la sensibilisation à une présentation PowerPoint annuelle. Sans suivi des participations ni évaluation des acquis, les auditeurs considèrent la démarche non conforme.

7.4 Communication

Un SMSI efficace exige une communication claire et documentée. Cela inclut la diffusion de la politique de sécurité, les retours d’expérience après incident et la communication avec les parties prenantes externes (clients, partenaires, autorités).

L’absence de communication interne conduit à une déconnexion entre le SMSI et les réalités opérationnelles.

Warning

Erreur fréquente : se limiter à des communications ad hoc par e-mail. Les auditeurs exigent une communication planifiée et traçable.

7.5 Information documentée

La gestion documentaire constitue l’épine dorsale du SMSI. Les procédures, registres de risques, chartes et politiques doivent être centralisés dans une GED (Gestion Électronique de Documents).

Les outils fréquemment utilisés sont :

  • Confluence ou SharePoint pour la collaboration et le suivi.
  • Obsidian pour des bases documentaires souples avec wiki-links et templates normalisés.
  • Solutions GED avancées (Alfresco, DocuWare) dans les grandes entreprises.

Un SMSI sans gestion documentaire rigoureuse ne peut pas démontrer sa conformité en audit.

Warning

Erreur fréquente : multiplier les documents dispersés (dossiers partagés, intranet, mails). L’absence de versioning centralisé entraîne des incohérences et fragilise l’audit.

Cas concret historique

Exemple : Hôpitaux français face aux rançongiciels (2020).
Les audits post-crise ont révélé des lacunes majeures : absence de politique de sensibilisation, formation non suivie, documentation obsolète. Ces manquements ont amplifié les conséquences opérationnelles, allongeant la durée d’indisponibilité des systèmes et augmentant les coûts de reprise.

Preuves d’audit typiques

  • Budget cybersécurité validé par la direction.
  • Catalogue de compétences SSI avec preuves de formation.
  • Programme de sensibilisation documenté et registres de participation.
  • Plan de communication interne et externe validé.
  • Procédures de gestion documentaire avec versioning.

Objectifs pédagogiques

À l’issue de ce chapitre, l’apprenant doit être capable de :

  • Expliquer le rôle des ressources et compétences dans le SMSI.
  • Construire une politique de sensibilisation SSI adaptée.
  • Démontrer l’importance de la communication interne et externe.
  • Mettre en place une gestion documentaire robuste.

Checklist RSSI

  • Vérifier que les ressources financières et humaines sont suffisantes.
  • Tenir à jour un catalogue de compétences SSI et plan de formation.
  • Documenter et suivre une politique de sensibilisation annuelle.
  • Formaliser un plan de communication interne/externe.
  • Centraliser la documentation dans une GED avec gestion des versions.

Vue Graphique