Actualités

Accompagnement à la certification des SI au Maroc

Accompagnement à la certification des SI au Maroc

N'hésitez pas à nous contacter !

Depuis plusieurs années, le monde des systèmes d’information a connu une forte évolution : développement d’Internet, essor des réseaux, mondialisation de l’information, multiplication des SI (systèmes d’information) … Quelque soit votre organisation, vous pouvez être confronté à de nombreux risques quant à la protection et à la sécurité de vos données. En choisissant la certification, vous mettez en place des processus performant sur la base d’une norme spécifique et vous disposez d’un outil de différenciation sur le marché.

La norme ISO 27001 porte sur la mise en place d’un Système de Management de la Sécurité de l’Information, plus communément appelé « SMSI ». Celui-ci a pour objectif de garantir la confidentialité, l’intégrité et la confidentialité des information grâce à un processus de gestion des risques, et intervient de manière transversale sur l’ensemble de vos processus internes.

Le SMSI en tant que dispositif global gère et coordonne la manière dont la sécurité de l’information est mise en place. Il est défini pour un périmètre défini stratégiquement (une application, un service, une organisation, un processus métier…) et doit pouvoir s’adapter aux changements qui ont lieu dans l’environnement interne et externe.

L’accompagnement à la certification des SI sera réalisé par une équipe de consultants formés et certifiés ISO27001 Lead Implementer & Lead Auditor, ISO 27005 Risk Manager et au Règlement Général sur la Protection des Données personnelles.

1- Accompagnement à la certification des SI au Maroc : Définir le SMSI

images 1 - Accompagnement à la certification des SI au Maroc

Un Système de Management de la Sécurité de l’Information (Information Security Management System en anglais) permet de gérer la sécurité de l’information (comme son nom l’indique). Cet acronyme désigne donc l’ensemble des politiques concernant la gestion de la sécurité des informations confidentielles. Pour qu’un SMSI soit reconnu comme tel, il est primordial qu’il soit efficace à long terme et donc doit s’adapter aux futurs changements internes et externes.

De nos jours, les menaces sont de plus en plus nombreuses et peuvent apparaître sous différentes formes. Qu’on parle de ransomware (61%), de déni de service (38%), de défiguration de site web (23%) ou encore de vol de données personnelles (18%), il est important de se munir d’une protection contre ce genre d’attaques. L’accompagnement à la certification des SI permet de challenger vos équipes sur vos exigences de sécurité tout en faisant progresser votre organisation. Nous ne proposons pas une offre « clé en main » mais un service « main dans la main » pour vous permettre de lire et de comprendre les référentiels, de vous former à notre méthodologie d’implémentation, de remettre en question vos pratiques de sécurité et de vous apporter notre aide sur toutes les phases de votre projet : de la réunion de lancement à l’audit blanc.

2- Accompagnement à la certification des SI au Maroc : Accompagnement à la certification du SI selon la norme ISO 27001

images 2 150x150 - Accompagnement à la certification des SI au Maroc

L’audit interne joue un rôle essentiel pour aider les organisations dans leur bataille continue de la gestion des cyber menaces, à la fois en fournissant une évaluation indépendante des contrôles existants et nécessaires et en aidant le comité d’audit et le conseil d’administration à comprendre et à gérer les divers risques du monde numérique.

La menace des cyberattaques est importante et en constante évolution. De nombreux comités et conseils d’audit s’attendent à ce que l’audit interne comprenne et évalue les capacités de l’organisation à gérer les divers risques. Notre expérience montre qu’une première étape efficace pour un audit interne consiste à effectuer une évaluation des cyber-risques et à synthétiser les résultats en un résumé concis pour le comité d’audit et le conseil d’administration qui pilotera ensuite un plan d’audit interne de basé sur les risques identifiés.

L’importance de l’accompagnement à la certification des SI de nos clients réside dans l’évaluation de la sécurité et de la vulnérabilité de leur système informatique, détectant ses faiblesses et non-conformités. Sur la base des informations collectées, nous préparons un rapport de sécurité informatique détaillé avec des recommandations d’actions correctives qui s’appuient sur les meilleures pratiques internationales. En suivant nos recommandations d’experts, nos clients sont assurés d’avoir une infrastructure conforme aux normes de sécurité internationales.

3- Accompagnement à la certification des SI au Maroc : Etapes de la certification des SI selon la norme ISO 27001

Il existe de nombreuses raisons pour l’accompagnement à la certification des SI selon  la norme ISO 27001 qui est la  norme internationale décrivant les bonnes pratiques à suivre pour les systèmes de gestion de la sécurité de l’information (ISMS). Elle aide les organisations à améliorer leur sécurité, à se conformer aux règlementations de cyber sécurité et à protéger et améliorer leur réputation. Mais la mise en place de la norme prend beaucoup de temps et d’efforts. Cela doit être évident, au moins si vous croyez en la phrase « Rien de ce qui vaut la peine n’arrive sans effort ». Nous avons rendu le processus plus simple en le divisant en neuf étapes.

  1. Contenu de la mission

Le projet de mise en place doit commencer par la désignation d’un leader de projet, qui travaillera avec d’autres membres du personnel. Il s’agit essentiellement d’un ensemble de réponses aux questions suivantes :

  • Qu’espérons-nous réaliser ?
  • Combien de temps cela prendra-t-il ?
  • Qu’est-ce que cela coutera ?
  • Avons-nous le soutient des équipes de direction ?
  1. Initiation du projet

Les organisations doivent utiliser leur contenu de mission afin de construire une structure plus définie et plus détaillée concernant les objectifs liés à la sécurité de l’information et l’équipe gérant le projet, la planification et les risques.

  1. Initiation du ISMS

La prochaine étape est d’adopter une méthodologie de mise en place d’un ISMS. La norme ISO 27001 reconnait que la démarche d’amélioration continue suivant une approche par processus est le modèle le plus efficace pour la gestion de la sécurité de l’information. Cependant, elle ne précise aucune méthodologie en particulier et permet aux organisations d’utiliser la méthode de leur choix ou de continuer avec le modèle déjà en place.

  1. Cadre de gestion

A ce stade, l’ISMS aura besoin d’une signification plus large du cadre. Cela comprend l’identification de la portée du système, qui dépendra du contexte. La portée doit également prendre en compte les appareils mobiles et les télétravailleurs.

  1. Critères de sécurité

Les organisations doivent identifier leurs principaux besoins de sécurité. Il s’agit des exigences et mesures correspondantes ou des contrôles nécessaires pour gérer l’entreprise.

  1. Gestion des risques

La norme ISO 27001 permet aux organisations de définir de manière plus large leurs propres processus de gestion des risques. Les méthodes les plus communes sont axées sur les risques liés à des actifs précis ou les risques présentés dans des scénarios précis. Les points positifs et négatifs de chacun et certaines organisations seront plus en mesure d’utiliser l’une ou l’autre des méthodes. L’analyse des risques ISO 27001 comprend cinq points importants :

  • Etablir un cadre d’analyse des risques
  • Identifier les risques
  • Analyser les risques
  • Evaluer les risques
  • Sélectionner les options de gestion des risques
  1. Plan de traitement des risques

Il s’agit du processus de construction des contrôles de sécurité ayant pour but de protéger les informations de votre organisation. Afin de garantir l’efficacité de ces contrôles, vous devrez vérifier que les employés sont capables d’opérer et d’interagir avec les contrôles, et qu’ils connaissent leurs obligations en matière de sécurité de l’information. Vous devrez également développer un processus vous permettant de déterminer, réviser et maintenir les compétences nécessaires afin d’atteindre vos objectifs en matière d’ISMS. Cela comprend la mise en place d’analyses et la définition d’un bon niveau de compétence.

  1. Mesurer, contrôler et réviser

Pour qu’un ISMS soit utile, il doit répondre aux objectifs de sécurité de l’information. Les organisations doivent mesurer, contrôler et réviser la performance du système. Cela implique l’identification de métriques ou d’autres méthodes permettant de juger l’efficacité et la mise en place des contrôles.

  1. Certification

Une fois l’ISMS en place, les organisations devraient essayer d’obtenir un certificat auprès d’un organisme de certification accrédité. Cela prouve aux parties prenantes que l’ISMS est efficace et que les organisations comprennent l’importance de la sécurité de l’information. Le processus de certification implique la révision des documentations des systèmes de gestion de l’organisation afin de vérifier que les contrôles appropriés ont été mis en place. L’organisme de certification mènera également un audit sur-site afin de tester les procédures.

A PROPOS de NPM

« Le Cabinet New Performance Management est le fruit d’une longue expérience professionnelle au sein de grands groupes Internationaux, d’un profond attachement aux valeurs de travail en entreprise, d’amitié et de performance. 

Nous conseillons et accompagnons les entreprises et les particuliers dans leur développement et mettons quotidiennement en œuvre des moyens humains et un savoir-faire à la hauteur des ambitions de nos clients. 

Notre approche ciblée et qualitative nous permet de bénéficier d’une place de premier plan dans certains domaines comme l’ingénierie de  la sécurité incendie, les études Environnementales, le conseil QSE, le Coaching, l’intelligence relationnelle au sein des équipes et la formation continue et certifiante. 

New Performance Management, c’est avant tout un savoir-faire et un esprit d’équipe dont les enjeux sont la satisfaction de nos clients et l’épanouissement professionnel des équipes au Travail.

Notre valeur ajoutée : « un challenge au quotidien, des liens de confiance solides, un service sur mesure et l’utilisation des derniers outils du conseil pour des processus que nous souhaitons toujours plus performant. ».

consultants et formateurs expérimentés

Nos consultants et nos formateurs sont tous certifiés et sont des ingénieurs de Grandes Ecoles, avec plus de 16 d’expériences professionnelles dans des multinationales et des PME.