Un SMSI est-il la meme chose qu'ISO 27001 ?

Non. ISO 27001 est une norme qui specifie les exigences d'un SMSI. Le SMSI est le systeme de management lui-meme — les politiques, processus, contrôles et documentation qu'une organisation met en oeuvre. ISO 27001 definit ce qu'un SMSI doit inclure pour etre certifie. Vous pouvez avoir un SMSI sans certification ISO 27001, mais vous ne pouvez pas etre certifie ISO 27001 sans SMSI.

Que comprend un SMSI ?

Un SMSI comprend : (1) Politique de sécurité de l'information ; (2) Évaluation et traitement des risques ; (3) Declaration d'applicabilite — quels contrôles sont mis en oeuvre et pourquoi ; (4) Contrôles de sécurité ; (5) Documentation ; (6) Audit interne ; (7) Revue de direction ; (8) Amelioration continue.

Combien de temps faut-il pour mettre en oeuvre un SMSI ?

Pour une entreprise de 50 a 500 employes, comptez 3 a 6 mois pour un SMSI de base et 6 a 12 mois pour un SMSI prêt a la certification incluant l'audit ISO 27001. Les organisations plus grandes peuvent avoir besoin de 12 a 18 mois. Les facteurs cles sont la maturité securitaire existante, la complexite du perimetre, la disponibilite des ressources et l'utilisation d'outils d'automatisation de la conformité.

Ai-je besoin d'un SMSI pour la conformité NIS2 ?

NIS2 n'exige pas explicitement un SMSI par son nom, mais l'article 21 requiert des mesures de gestion des risques qui constituent fonctionnellement un SMSI. Les dix mesures requises — politiques d'analyse des risques, gestion des incidents, continuite d'activité, sécurité de la chaîne d'approvisionnement — sont les composants fondamentaux d'un SMSI. Mettre en oeuvre un SMSI aligne sur ISO 27001 est le moyen le plus pratique de repondre aux exigences de l'article 21.

Quelle est la difference entre un SMSI et un outil GRC ?

Un SMSI est un systeme de management — le cadre de politiques, processus, contrôles et preuves qui regit la sécurité de l'information. Un outil GRC est un logiciel qui aide a gerer ce systeme. Le SMSI definit ce que vous faites ; l'outil GRC vous aide a le suivre, le documenter et le surveiller.

Combien coute un SMSI ?

Pour une entreprise de taille moyenne, comptez : effort interne (150 a 500 jours-personne), plateforme d'automatisation de la conformité (10 000 a 50 000 EUR/an), support consultant si nécessaire (15 000 a 50 000 EUR) et audit de certification ISO 27001 (10 000 a 30 000 EUR). Le cout total de la premiere annee se situe generalement entre 30 000 et 150 000 EUR.

Peut-on utiliser un SMSI pour plusieurs référentiels ?

Oui. Un SMSI bien concu sert de fondation pour plusieurs référentiels simultanement. La structure de contrôles d'ISO 27001 se mappe directement aux critères SOC 2, aux mesures de l'article 21 NIS2 et aux exigences DORA. De nombreux contrôles satisfont plusieurs référentiels — par exemple, les politiques de contrôle d'accès s'appliquent a ISO 27001 A.5.15, SOC 2 CC6.1 et NIS2 Article 21(2)(i).

SMSI : qu'est-ce qu'un systeme de management de la sécurité de l'information ?

Published 7 mars 2026

By Emre Salmanoglu

SMSI : qu'est-ce qu'un systeme de management de la sécurité de l'information ?

Guide pratique sur les systemes de management de la sécurité de l'information (SMSI) — definition, fonctionnement, exigences ISO 27001, mise en oeuvre et liens avec la conformité NIS2, DORA et SOC 2.

SMSI

ISO 27001

Securite de l'information

NIS2

DORA

SOC 2

Gouvernance de la securite

SMSI : qu'est-ce qu'un systeme de management de la sécurité de l'information ?

Le guide complet ? Consultez notre SMSI : guide complet de mise en œuvre 2026 — coûts France, certification COFRAC, NIS2 et RGPD. Pour une introduction au concept, lisez Qu'est-ce qu'un SMSI ?.

Un systeme de management de la sécurité de l'information (SMSI) est un cadre structure pour gerer la sécurité de l'information a travers votre organisation. Il englobe les politiques, processus, contrôles et documentation qui definissent comment vous protégez les actifs informationnels, gerez les risques de sécurité et ameliorez continuellement votre posture de sécurité.

Un SMSI n'est pas un produit que vous installez ou un document que vous redigez une seule fois. C'est un systeme de management continu qui garantit que la sécurité est systematique, mesurable et en amelioration permanente.

Comment fonctionne un SMSI

Un SMSI fonctionne selon le cycle Plan-Do-Check-Act (PDCA) :

Planifier (Plan)

Definir le perimetre — quelles parties de l'organisation, quels actifs, quels systemes
Etablir la politique de sécurité de l'information
Mener l'évaluation des risques — identifier les menaces, vulnerabilites et impacts
Selectionner les contrôles pour traiter les risques identifies
Creer la declaration d'applicabilite (DdA)

Realiser (Do)

Mettre en oeuvre les contrôles selectionnes
Deployer les politiques et procedures
Mener la formation de sensibilisation à la sécurité
Etablir les processus de réponse aux incidents
Commencer la collecte de preuves et la documentation

Verifier (Check)

Surveiller et mesurer l'efficacite des contrôles
Mener des audits internes
Effectuer des revues de direction
Suivre les metriques et KPI de sécurité
Identifier les non-conformites et les opportunites d'amelioration

Agir (Act)

Traiter les constats d'audit et non-conformites
Mettre en oeuvre les actions correctives
Mettre à jour les évaluations des risques
Optimiser les contrôles et processus

Composants fondamentaux

1. Politique de sécurité de l'information

Le document de plus haut niveau qui etablit l'engagement de l'organisation envers la sécurité de l'information.

2. Évaluation et traitement des risques

Le processus systematique d'identification, d'analyse et de traitement des risques : identifier, analyser, évaluer, puis traiter (attenuer, accepter, transferer ou eviter).

3. Declaration d'applicabilite (DdA)

Document listant tous les contrôles consideres et indiquant lesquels sont mis en oeuvre, lesquels sont exclus, et la justification de chaque décision.

4. Contrôles de sécurité

ISO 27001:2022 organise 93 contrôles en quatre catégories :

Catégorie	Contrôles	Exemples
Organisationnels	37 contrôles	Politiques, roles, gestion des actifs, sécurité des fournisseurs
Personnes	8 contrôles	Selection, formation, processus disciplinaire, teletravail
Physiques	14 contrôles	Zones securisees, protection des equipements, bureau propre
Technologiques	34 contrôles	Contrôle d'accès, chiffrement, journalisation, sécurité réseau

5. Documentation

Documents obligatoires, enregistrements obligatoires et procedures de soutien.

6. Audit interne

Évaluation reguliere de la conformité et de l'efficacite du SMSI.

7. Revue de direction

Revue periodique par la direction pour s'assurer que le SMSI reste adapte, adequat et efficace.

8. Amelioration continue

Actions correctives, mesures preventives et optimisation des processus.

SMSI et référentiels de conformité

ISO 27001

La norme de référence pour la mise en oeuvre d'un SMSI. Les clauses cles couvrent le contexte, le leadership, la planification, le support, l'exploitation, l'évaluation des performances et l'amelioration.

NIS2

L'article 21 exige dix catégories de mesures de gestion des risques qui se mappent directement aux composants du SMSI.

SOC 2

Les critères de services de confiance SOC 2 s'alignent sur les composants du SMSI : gouvernance, gestion des risques, surveillance et contrôles techniques.

DORA

Le cadre de gestion des risques TIC de DORA (Articles 5-16) couvre les politiques, la gestion des incidents, les tests de resilience et la gestion des risques tiers.

Etapes de mise en oeuvre

Definir le perimetre et les objectifs — Quels processus, actifs et systemes
Obtenir l'engagement de la direction — Nommer un RSSI, allouer le budget
Mener l'évaluation des risques — Inventorier les actifs, identifier les menaces
Selectionner et mettre en oeuvre les contrôles — Mapper a l'Annexe A d'ISO 27001
Former et communiquer — Formation de sensibilisation pour tous les employes
Surveiller et mesurer — Definir les metriques et KPI de sécurité
Auditer et revoir — Audits internes et revues de direction
Certifier (optionnel) — Audit de certification ISO 27001 en deux etapes

Erreurs courantes

Traiter le SMSI comme un exercice documentaire. Les contrôles doivent etre mis en oeuvre, pas seulement documentes.
Perimetre trop large. Commencez par un perimetre cible et elargissez une fois le systeme mature.
Ignorer l'element humain. La formation, les procedures claires et la culture de sécurité sont essentielles.
Construire des contrôles deconnectes des risques. L'évaluation des risques doit guider la selection des contrôles.
Pas de responsabilite claire. Sans attribution claire, les activités du SMSI sont negligees.

Comment Orbiq soutient la mise en oeuvre du SMSI

Trust Center — Publiez vos certifications et votre posture de sécurité
Surveillance continue — Suivez l'efficacite des contrôles a travers votre SMSI
Gestion des preuves — Collecte automatisee mappee aux contrôles ISO 27001
Questionnaires IA — Repondez aux questionnaires de sécurité clients a partir de votre SMSI

Pour aller plus loin

Politique de sécurité de l'information — Rediger le document de plus haut niveau du SMSI
Cadres de gestion des risques — Choisir l'approche de gestion des risques
Automatisation de la conformité — Automatiser la collecte de preuves
ISO 27001 n'est pas la conformité NIS2 — Comprendre l'ecart entre ISO 27001 et NIS2