Un SMSI est-il la meme chose qu'ISO 27001 ?

Non. ISO 27001 est une norme qui specifie les exigences d'un SMSI. Le SMSI est le systeme de management lui-meme — les politiques, processus, controles et documentation qu'une organisation met en oeuvre. ISO 27001 definit ce qu'un SMSI doit inclure pour etre certifie. Vous pouvez avoir un SMSI sans certification ISO 27001, mais vous ne pouvez pas etre certifie ISO 27001 sans SMSI.

Que comprend un SMSI ?

Un SMSI comprend : (1) Politique de securite de l'information ; (2) Evaluation et traitement des risques ; (3) Declaration d'applicabilite — quels controles sont mis en oeuvre et pourquoi ; (4) Controles de securite ; (5) Documentation ; (6) Audit interne ; (7) Revue de direction ; (8) Amelioration continue.

Combien de temps faut-il pour mettre en oeuvre un SMSI ?

Pour une entreprise de 50 a 500 employes, comptez 3 a 6 mois pour un SMSI de base et 6 a 12 mois pour un SMSI pret a la certification incluant l'audit ISO 27001. Les organisations plus grandes peuvent avoir besoin de 12 a 18 mois. Les facteurs cles sont la maturite securitaire existante, la complexite du perimetre, la disponibilite des ressources et l'utilisation d'outils d'automatisation de la conformite.

Ai-je besoin d'un SMSI pour la conformite NIS2 ?

NIS2 n'exige pas explicitement un SMSI par son nom, mais l'article 21 requiert des mesures de gestion des risques qui constituent fonctionnellement un SMSI. Les dix mesures requises — politiques d'analyse des risques, gestion des incidents, continuite d'activite, securite de la chaine d'approvisionnement — sont les composants fondamentaux d'un SMSI. Mettre en oeuvre un SMSI aligne sur ISO 27001 est le moyen le plus pratique de repondre aux exigences de l'article 21.

Quelle est la difference entre un SMSI et un outil GRC ?

Un SMSI est un systeme de management — le cadre de politiques, processus, controles et preuves qui regit la securite de l'information. Un outil GRC est un logiciel qui aide a gerer ce systeme. Le SMSI definit ce que vous faites ; l'outil GRC vous aide a le suivre, le documenter et le surveiller.

Combien coute un SMSI ?

Pour une entreprise de taille moyenne, comptez : effort interne (150 a 500 jours-personne), plateforme d'automatisation de la conformite (10 000 a 50 000 EUR/an), support consultant si necessaire (15 000 a 50 000 EUR) et audit de certification ISO 27001 (10 000 a 30 000 EUR). Le cout total de la premiere annee se situe generalement entre 30 000 et 150 000 EUR.

Peut-on utiliser un SMSI pour plusieurs referentiels ?

Oui. Un SMSI bien concu sert de fondation pour plusieurs referentiels simultanement. La structure de controles d'ISO 27001 se mappe directement aux criteres SOC 2, aux mesures de l'article 21 NIS2 et aux exigences DORA. De nombreux controles satisfont plusieurs referentiels — par exemple, les politiques de controle d'acces s'appliquent a ISO 27001 A.5.15, SOC 2 CC6.1 et NIS2 Article 21(2)(i).

SMSI : qu'est-ce qu'un systeme de management de la securite de l'information ?

Published 7 mars 2026

By Emre Salmanoglu

SMSI : qu'est-ce qu'un systeme de management de la securite de l'information ?

Guide pratique sur les systemes de management de la securite de l'information (SMSI) — definition, fonctionnement, exigences ISO 27001, mise en oeuvre et liens avec la conformite NIS2, DORA et SOC 2.

SMSI

ISO 27001

Securite de l'information

NIS2

DORA

SOC 2

Gouvernance de la securite

SMSI : qu'est-ce qu'un systeme de management de la securite de l'information ?

Le guide complet ? Consultez notre SMSI : guide complet de mise en œuvre 2026 — coûts France, certification COFRAC, NIS2 et RGPD. Pour une introduction au concept, lisez Qu'est-ce qu'un SMSI ?.

Un systeme de management de la securite de l'information (SMSI) est un cadre structure pour gerer la securite de l'information a travers votre organisation. Il englobe les politiques, processus, controles et documentation qui definissent comment vous protegez les actifs informationnels, gerez les risques de securite et ameliorez continuellement votre posture de securite.

Un SMSI n'est pas un produit que vous installez ou un document que vous redigez une seule fois. C'est un systeme de management continu qui garantit que la securite est systematique, mesurable et en amelioration permanente.

Comment fonctionne un SMSI

Un SMSI fonctionne selon le cycle Plan-Do-Check-Act (PDCA) :

Planifier (Plan)

Definir le perimetre — quelles parties de l'organisation, quels actifs, quels systemes
Etablir la politique de securite de l'information
Mener l'evaluation des risques — identifier les menaces, vulnerabilites et impacts
Selectionner les controles pour traiter les risques identifies
Creer la declaration d'applicabilite (DdA)

Realiser (Do)

Mettre en oeuvre les controles selectionnes
Deployer les politiques et procedures
Mener la formation de sensibilisation a la securite
Etablir les processus de reponse aux incidents
Commencer la collecte de preuves et la documentation

Verifier (Check)

Surveiller et mesurer l'efficacite des controles
Mener des audits internes
Effectuer des revues de direction
Suivre les metriques et KPI de securite
Identifier les non-conformites et les opportunites d'amelioration

Agir (Act)

Traiter les constats d'audit et non-conformites
Mettre en oeuvre les actions correctives
Mettre a jour les evaluations des risques
Optimiser les controles et processus

Composants fondamentaux

1. Politique de securite de l'information

Le document de plus haut niveau qui etablit l'engagement de l'organisation envers la securite de l'information.

2. Evaluation et traitement des risques

Le processus systematique d'identification, d'analyse et de traitement des risques : identifier, analyser, evaluer, puis traiter (attenuer, accepter, transferer ou eviter).

3. Declaration d'applicabilite (DdA)

Document listant tous les controles consideres et indiquant lesquels sont mis en oeuvre, lesquels sont exclus, et la justification de chaque decision.

4. Controles de securite

ISO 27001:2022 organise 93 controles en quatre categories :

Categorie	Controles	Exemples
Organisationnels	37 controles	Politiques, roles, gestion des actifs, securite des fournisseurs
Personnes	8 controles	Selection, formation, processus disciplinaire, teletravail
Physiques	14 controles	Zones securisees, protection des equipements, bureau propre
Technologiques	34 controles	Controle d'acces, chiffrement, journalisation, securite reseau

5. Documentation

Documents obligatoires, enregistrements obligatoires et procedures de soutien.

6. Audit interne

Evaluation reguliere de la conformite et de l'efficacite du SMSI.

7. Revue de direction

Revue periodique par la direction pour s'assurer que le SMSI reste adapte, adequat et efficace.

8. Amelioration continue

Actions correctives, mesures preventives et optimisation des processus.

SMSI et referentiels de conformite

ISO 27001

La norme de reference pour la mise en oeuvre d'un SMSI. Les clauses cles couvrent le contexte, le leadership, la planification, le support, l'exploitation, l'evaluation des performances et l'amelioration.

NIS2

L'article 21 exige dix categories de mesures de gestion des risques qui se mappent directement aux composants du SMSI.

SOC 2

Les criteres de services de confiance SOC 2 s'alignent sur les composants du SMSI : gouvernance, gestion des risques, surveillance et controles techniques.

DORA

Le cadre de gestion des risques TIC de DORA (Articles 5-16) couvre les politiques, la gestion des incidents, les tests de resilience et la gestion des risques tiers.

Etapes de mise en oeuvre

Definir le perimetre et les objectifs — Quels processus, actifs et systemes
Obtenir l'engagement de la direction — Nommer un RSSI, allouer le budget
Mener l'evaluation des risques — Inventorier les actifs, identifier les menaces
Selectionner et mettre en oeuvre les controles — Mapper a l'Annexe A d'ISO 27001
Former et communiquer — Formation de sensibilisation pour tous les employes
Surveiller et mesurer — Definir les metriques et KPI de securite
Auditer et revoir — Audits internes et revues de direction
Certifier (optionnel) — Audit de certification ISO 27001 en deux etapes

Erreurs courantes

Traiter le SMSI comme un exercice documentaire. Les controles doivent etre mis en oeuvre, pas seulement documentes.
Perimetre trop large. Commencez par un perimetre cible et elargissez une fois le systeme mature.
Ignorer l'element humain. La formation, les procedures claires et la culture de securite sont essentielles.
Construire des controles deconnectes des risques. L'evaluation des risques doit guider la selection des controles.
Pas de responsabilite claire. Sans attribution claire, les activites du SMSI sont negligees.

Comment Orbiq soutient la mise en oeuvre du SMSI

Trust Center — Publiez vos certifications et votre posture de securite
Surveillance continue — Suivez l'efficacite des controles a travers votre SMSI
Gestion des preuves — Collecte automatisee mappee aux controles ISO 27001
Questionnaires IA — Repondez aux questionnaires de securite clients a partir de votre SMSI

Pour aller plus loin

Politique de securite de l'information — Rediger le document de plus haut niveau du SMSI
Cadres de gestion des risques — Choisir l'approche de gestion des risques
Automatisation de la conformite — Automatiser la collecte de preuves
ISO 27001 n'est pas la conformite NIS2 — Comprendre l'ecart entre ISO 27001 et NIS2