La mise en place d'un Système de Management de la Sécurité de l'Information (SMSI) est un projet structurant. Cependant, de nombreuses organisations tombent dans des pièges courants qui en réduisent l'efficacité.
1. Considérer le SMSI comme un projet purement informatique
La sécurité de l'information concerne toute l'entreprise : les RH, les aspects juridiques, les locaux physiques, etc. Limiter le SMSI au département IT est une erreur fondamentale.
2. Rédiger des procédures inapplicables
Des politiques de sécurité parfaites sur le papier mais impossibles à respecter au quotidien ne font que créer un sentiment de frustration et encouragent le contournement des règles (Shadow IT).
3. Négliger la sensibilisation continue
Une formation ponctuelle lors de l'intégration des nouveaux employés ne suffit pas. Les menaces évoluent rapidement (nouvelles techniques de phishing, par exemple), la sensibilisation doit donc être régulière et adaptée.
4. Oublier l'amélioration continue
Un SMSI doit vivre et s'adapter. Négliger les audits internes, les revues de direction et le traitement des non-conformités conduit rapidement à un système obsolète.
5. Mal gérer les risques liés aux tiers
Vos sous-traitants et fournisseurs peuvent être la porte d'entrée de cyberattaques. Ils doivent être intégrés à votre gestion des risques.