Un système de management de la sécurité est une approche systématique pour traiter les informations sensibles. Ceci inclut les personnes, les processus et les systèmes. Un standard de ISMS (Information Security Management System) a été adopté au plan international : ISO/IEC 17799:2005 & ISO/IEC 27001:2005.

Pour mettre en œuvre un ISMS, il faut définir le périmètre et le champ d’application? Ceci se traduit par les réponses aux questions suivantes:
– Quel genre d’information protéger (et quels sont les actifs associés), dans quelles activités?
– Quel type de risque peut se présenter?

Ceci n’est pas un outil d’implémentation technique de la sécurité des infrastructures mais plutôt un cadre de référence pour aborder la stratégie d’entreprise en termes de Risk management.

Les bénéfices escomptés d’un ISMS sont les suivants :

• Crédibilité, confiance, fiabilité : Les clients ont confiance dans la protection des données qui les concernent.

• Maîtrise des coûts : L’impact d’une brèche dans un système de sécurité peut coûter cher. Si l’incident se répète, ce peut être catastrophique, aux yeux des actionnaires, de la clientèle et des investisseurs.
• Conformité : En mettant en œuvre un ISMS, on démontre auprès des autorités que l’organisation applique la loi ou se met dans un processus qui y conduit.
• Engagement : La mise en place d’un ISMS manifeste un véritable engagement à tous les niveaux de l’organisation.
• Maîtrise des risques opérationnels : Une meilleure connaissance des SI conduit à l’identification des faiblesses et des risques associés, et comment s’en protéger.
• Personnel : Un tel système permet au personnel de prendre conscience des risques, des enjeux, et de ses responsabilités.
• Amélioration continue : La formalisation d’un ISMS et les contrôles récurrents qui l’accompagnent sont à la source d’un plan d’amélioration continu.