Mettre en place un SMSI conforme à l’ISO 27001, c’est comme installer une alarme chez soi. C’est utile, rassurant… mais si tu oublies de la mettre à jour pendant dix ans, elle finira par sonner à chaque fois que quelqu’un ouvre le frigo. Ce qui peut servir dans le cas où quelqu’un vole régulièrement tes yaourts, mais ce n’est pas le sujet. Ce que tu veux, c’est faire vivre un SMSI, pas juste le poser sur une étagère et attendre l’audit.
La sécurité ne dort jamais
Le monde informatique va vite. Trop vite. Entre les nouvelles failles, les mises à jour critiques de tes solutions SaaS préférées, ou le stagiaire un peu trop créatif qui a ouvert les ports du firewall « pour tester », il y a de quoi transpirer. Et c’est pour ça que l’amélioration continue, cœur battant de la norme ISO 27001, est vitale. Elle permet de faire évoluer ton système de management de la sécurité au même rythme que les menaces, les besoins métier… ou les décisions de la direction du style « on migre tout sur le cloud d’ici lundi, merci et bon week-end ».
Le PDCA, boussole de l’amélioration continue
Quand on parle d’amélioration continue, on pense souvent au cycle PDCA (Plan – Do – Check – Act). Ce n’est pas qu’un joli acronyme à placer en revue de direction : c’est une boussole pour faire vivre ton SMSI au quotidien.
Planifier, c’est prendre le temps d’analyser les risques et de définir des actions pertinentes. Mettre en œuvre, c’est tester, expérimenter, parfois ajuster. Vérifier, c’est suivre les indicateurs, écouter les retours terrain, et confronter le système à la réalité. Et agir, c’est corriger, faire évoluer, sans tout remettre en question à chaque fois.
Le PDCA, ce n’est pas un cycle abstrait : c’est une routine de pilotage qui permet à ton SMSI de ne jamais devenir obsolète… ni déconnecté du terrain.
Quand faut-il faire évoluer ton SMSI ?
Quelques situations où l’amélioration continue fait la différence :
- Audit interne : tu découvres que la procédure de gestion des droits d’accès date de 2019. Et mentionne encore Windows Server 2008. Comment ça, l’auditeur arrive demain ?
- Incident de sécurité : un collaborateur transfère un fichier sensible via WeTransfer. Panique… mais aussi opportunité de revoir la politique d’usage des outils et de former les équipes.
- Changement de périmètre : un client exige une certification ISO 27001 pour signer un contrat. Bonne nouvelle, mais il va falloir gérer ce poste sous Windows XP qui pilote « un outil métier très critique ». Si seulement on l’avait anticipé !
- Veille réglementaire : tiens, un nouveau texte européen complète le RGPD. Ou bien c’est la directive NIS2. Ou les deux ? (Spoiler : oui).
Améliorer sans tout casser
Non, l’amélioration continue, ce n’est pas tout refaire chaque mois.
C’est s’assurer que les actions correctives des audits sont suivies d’effet.
C’est réévaluer les risques quand le contexte évolue (nouveaux outils, nouveaux fournisseurs, nouvelles menaces).
C’est organiser des revues de direction utiles, pas juste pour cocher une case.
Et surtout, c’est écouter les utilisateurs. Même quand leurs pratiques sont discutables : « Je t’ai mis le mot de passe sur un post-it sous le clavier. »
C’est justement dans ces moments-là que l’on peut améliorer la sensibilisation, la compréhension des enjeux… et éviter les erreurs.
ISO 27001, c’est comme une plante verte
Si tu ne l’arroses pas régulièrement, elle meurt. Lentement. Et tout le monde croit que c’était au voisin de le faire. Et à l’audit, tu dis : « Oui, là c’était le plan de continuité, mais il a un peu… fané. »
Alors on révise, on corrige, on documente, on forme, on ajuste. Encore et encore. Parce que la sécurité de l’information, ce n’est pas un projet.
C’est une discipline, et pour la faire vivre, il faut entretenir ton système dans la durée.
Et c’est exactement ça, faire vivre un SMSI.
Plonge dans l’amélioration continue
Et si tu ne sais pas toujours par où commencer pour faire vivre ton SMSI, pas de panique : Arthur est là, il avance lentement… mais sûrement, et il a un vrai flair pour l’amélioration continue !
ELIOPOLIS t’aide à enclencher cette dynamique en te mettant à disposition une trame simple, prête à adapter à ton contexte.
