Mini Bundle : Pack de démarrage SMSI - PME

Le Mini Bundle : Pack de démarrage SMSI - PME propose une suite pratique et complète de politiques de cybersécurité conçues pour les petites et moyennes entreprises recherchant un alignement ISO/IEC 27001:2022. Reconnaissant que les PME manquent souvent d’équipes internes dédiées à l’informatique, à la sécurité ou à la conformité, chaque politique de ce bundle attribue explicitement l’autorité et la responsabilité à des rôles métier tels que le Directeur général, les Responsables de département et, le cas échéant, du personnel désigné ou des prestataires informatiques externalisés. Toutes les politiques font référence à une séparation des tâches simplifiée ; la délégation par le Directeur général est prise en charge, mais l’auditabilité et la supervision sont préservées en permanence afin de respecter la clause 5.3 de l’ISO/IEC 27001. Ce pack de démarrage orienté PME inclut : la politique de sécurité de l’information, la politique de gouvernance des rôles et responsabilités, la politique de contrôle d’accès, la politique de gestion des changements, la politique de gestion des risques et la politique de sauvegarde et de restauration. Chaque document couvre des contrôles opérationnels et techniques essentiels sur l’ensemble du cycle de vie de l'information, du provisionnement des accès utilisateurs et de l’appréciation des risques jusqu’aux autorisations de changement et à la continuité d’activité. Les exigences communes incluent la tenue de registres centraux (pour les accès et les risques), la documentation de tous les changements et délégations, la réalisation de revues périodiques des politiques et la mise en application de la conformité avec des conséquences claires en cas de violations ou d’omissions. Un point clé est l’approche cohérente : chaque politique impose une revue périodique obligatoire (annuelle ou après des changements majeurs), l’approbation documentée des exceptions ou des incidents par le Directeur général, et une applicabilité simple tant au personnel interne qu’aux prestataires tiers de services, ce qui les rend applicables quelle que soit la taille de l’entreprise. Des activités telles que les systèmes de sauvegarde, le suivi des risques, le respect de la politique et la gestion des accès utilisateurs sont prescrites d’une manière compatible avec une capacité interne limitée. Par exemple, les régimes de sauvegarde et les tests de restauration sont gouvernés par une seule personne responsable (Directeur général ou personne désignée), et l’identification des risques peut être réalisée à l’aide de listes de contrôle simples plutôt que d’outils avancés. Toutes les politiques de ce bundle sont cartographiées par rapport aux principaux cadres et réglementations mondiaux, notamment ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU NIS2, EU DORA, COBIT 2019 et le RGPD de l’UE. La cartographie inclut des clauses telles que 5.1–5.3, 6.1, 8.1 pour l’ISO/IEC 27001, des mesures pertinentes pour l’ISO/IEC 27002 (par ex., mesures 5.2, 5.15, 8.13) et des articles spécifiques du RGPD et de DORA. Ces cartographies, associées à des contrôles en langage clair et à des processus spécifiques aux rôles, garantissent non seulement que la conformité des PME est atteignable, mais aussi qu’elle est démontrable auprès des clients, des auditeurs et des régulateurs. Les politiques sont toutes référencées entre elles ; chacune renvoie vers des documents connexes au sein du bundle pour une mise en œuvre cohérente du SMSI dans les petites organisations.