L’ISO a publié, en avril 2024, un guide de mise en place d’un système de management de la sécurité de l’information (SMSI) selon la norme ISO/IEC 27001:2022 Sécurité de l'information, cybersécurité et protection de la vie privée — Systèmes de management de la sécurité de l'information — Exigences dédié au cas particulier de petites-et-moyennes entreprises (PMEs). Ce guide, servant de compagnon à la norme ISO/IEC 27001 elle-même, a pour but de soutenir les PMEs dans l’implémentation d’un tel système, en tenant compte en particulier de contraintes en matière de ressources auxquelles celles-ci sont soumises du fait de leur nature.
Au sein d’une organisation, un SMSI est une manière systématique, codifiée et documentée de tenir compte de la sécurité de l’information (données client, code source, processus de fabrication, données RH, etc.) dans la gestion quotidienne de ses activités. Un SMSI n’a pas vocation à remplacer ou altérer fondamentalement les habitudes de gestion de l’organisme, mais plutôt à y intégrer la sécurité de l’information. Cependant, en pratique il n’est pas forcément évident pour une PME - qui n’a souvent pas de grandes ressources à y dédier - de trouver une manière efficace pour mettre en place, et maintenir, un tel système.
La norme ISO/IEC 27001:2022 donne des exigences pour la mise en place d’un SMSI, et peut s’appliquer à des organisations indépendamment de leur taille. L’objectif du nouveau guide publié par l’ISO est de donner des pistes d’implémentation d’un SMSI selon les exigences de la norme ISO/IEC 27001:2022 pour le cas précis des PMEs.
Concrètement, le guide - structuré de manière identique à la norme – explique la teneur et le sens des exigences de la norme, et indique ce qu’une PME peut faire pour les respecter. Les explications sont accompagnées d’exemples ou de cas d’utilisation. Il est noté que certains aspects d’un SMSI peuvent être plus simples pour une PME que pour une entreprise de grande taille, en particulier étant donné que la communication et la prise de décision concernent souvent moins de personnes. Enfin, le guide contient une annexe abordant des sujets connexes (certification, autres sources d’information) et une liste de questions fréquemment posées.
Précisons toutefois que le guide ne reproduit pas les clauses de la norme ; par conséquent, il ne peut être utilisé qu’en soutient à cette dernière, et non seul.
Le guide est disponible à l’achat sur le site de l’ISO.