Documentation SMSI avec Alfresco

Le système documentaire d'un SMSI

On réduit souvent la problématique de la documentation d'un SMSI a besoin de construire un systèmes documentaire sur 4 niveaux :


Mais les besoins de construire la documentation d'un SMSI vont bien au delà du seul besoin de documenter les processus liés à la sécurité.  La rédaction des procédures doit permettre une meilleure compréhension du processus. Le fait d’écrire facilite un raisonnement rationnel scientifique.

Le principal bénéfice de la contruction d'une documentation SMSI

 

Il faut s'inspirer des études et recherches sur les enjeux, bénéfices de la documentation de la qualité dans une organisation ISO 9000.

Un référentiel qualité ISO 9000 constitue un outil de management des connaissances qui conduit à une explicitation et une diffusion des savoirs dans l'entreprise. Si la documentation ISO 9000 est conçue d'emblée comme un système d'apprentissage avec objectif de création de connaissances, alors elle permettra ainsi :

  • un processus de partage d'expériences développant de fait des aptitudes techniques
  • la transformation de concepts en connaissances explicites
  • un moyen d'assimilation de ces connaissances explicites en savoirs faire opérationnels

Cela implique évidemment que la construction du référentiel documentaire soit un travail d'élaboration conjointe avec les collaborateurs concernés.

En revanche si ce travail est fait en le Responsable Qualité (ou Sécurité) et un consultant externe, alors il est clair qu'il n'y aura pas d'appropriation par l'organisation du modèle, mais bien un rejet car la démarche sera perçue comme une démarche formaliste, générant des règles bureaucratiques induisant perte de temps et inertie.

Malheureusement beaucoup de RSSI fonctionne dans ce modèle là, car il s'agit avant tout de produire rapidement des documents "crédibles". Tant pis si les processus ne sont pas compris par les opérationnels, le RSSI compte sur l'organisation de boucles de contrôle pour les faire appliquer.

Les freins à la documentation d'un SMSI

Ils sont identiques à ceux liés à la documentation d'autres systèmes de management, celui de la qualité notamment :

  • le management d'entreprise considère que les enjeux se situent ailleurs et que l'effort porté sur l'optimisation et la documentation des processus est faible
  • le management intermédiaire aime bien fonctionner en mode "héros" et donc privilégie le règlement des dysfonctionnements et la gestion des incidents au traitement de l'origine du problème
  • les personnes du terrain peuvent faire obstacle à la rédaction de procédures qui les désapproprient d’une partie de leur savoir-faire.

Néanmois certains freins sont plus spécifiques aux SMSI :

  • la rédaction d'une procédure est difficile acceptable quand on est qu'une toute petite équipe à travailler sur un processus (1,2 ou 3 personnes)
  • la  formation d'ingénieur informaticien n'est que peu axée sur la dimension qualité, or rédiger des documents liés aux processus de sécurité procède plus à une culture qualité qu'une vision technique de la mise en oeuvre d'une mesure de sécurité
  • la notion d'enregistrement (et pas seulement sécurité) est peu dans la culture informatique 

ECM, un facilitateur pour développer une culture sécurité ?

Evidemment il ne faut compter sur un outil ne pourra pas résoudre des problèmes, néanmois l'utilisation d'un ECM de type ALFRESCO permettra :

logo-alfresco
  • de favoriser le travail collaboratif et le partage d'expériences
  • la diffusion d'information autour du SMSI
  • la production d'une architecture documentaire cohérente par un rattachement systématique des documents entre eux (procédures, instructions, enregistrements, données internes ou externes, ...)
  • la production de fiches de non-conformité, d'incidents avec l'utilisation de formulaires combinée avec les outils de workflow d'Alfresco
  • le partage des rapports d’audit
  • ...

Copyright Ysosecure © 2002 - 2018