Mise en œuvre d’un SMSI – Étapes concrètes
Success
Voici un plan d’action réaliste pour implémenter ISO/IEC 27001 dans une organisation.
Étape 1 – Engagement de la direction
- Nommer un responsable du projet (RSSI, PMO…)
- Obtenir l’accord formel de la direction
- Allouer budget et ressources
Étape 2 – Définition du périmètre
- Définir les frontières (physiques, logiques, organisationnelles)
- Cartographier les actifs critiques
Étape 3 – Appréciation des risques
- Identifier les actifs → menaces → vulnérabilités
- Estimer le risque (impact × vraisemblance)
- Déterminer les mesures de sécurité à appliquer
Étape 4 – Politique et documentation
- Rédiger la politique SSI
- Décliner les procédures (accès, sauvegardes, incidents, etc.)
- Mettre en place la documentation obligatoire
Étape 5 – Sensibilisation et formation
- Campagnes internes
- Supports visuels, formations, newsletters
Étape 6 – Mise en œuvre opérationnelle
- Appliquer les mesures techniques, physiques, organisationnelles
- Piloter les plans de traitement
Étape 7 – Audit interne et revue de direction
- Vérifier la conformité aux clauses 4 à 10
- Organiser une revue de direction avec preuves
Étape 8 – Audit de certification externe
- Choisir un organisme de certification
- Étape 1 : revue documentaire
- Étape 2 : audit sur site
- Résolution des éventuelles non-conformités
Tip
Le délai moyen d’implémentation complète d’un SMSI est de 6 à 18 mois selon la taille et la maturité de l’organisation.