La norme ISO/IEC 21827 établit un modèle d’évaluation de la maturité des systèmes d’information en place, dit SSE-CMM.
Échelonné suivant un barème de cinq niveaux, le modèle permet de situer la maturité d’un système de sécurité de l’information, selon que le processus de gestion appliqué, vérifié, maintenu et suivi est 1) informel, 2) planifié, 3) clairement défini, 4) évalué quantitativement ou 5) ouvert à l’amélioration continue de son efficacité.
Le modèle SSE-CMM évalue les points suivants :
•
Le caractère indispensable des systèmes d’information sur l’exploitation
•
L’effet d’une perte de disponibilité des systèmes d’information
•
L’incidence d’une altération de l’information contenue dans ces systèmes
•
Les répercussions d’une divulgation de l’information
•
La férocité de la concurrence
•
Le degré d’innovation du secteur d’activité
•
L’attrait et le degré d’interconnexion des systèmes d’information
•
L’homogénéité des systèmes
•
La part de sécurité de l’information confiée en sous-traitance
Cette évaluation faite, le modèle SSE-CMM permet de vérifier, en fonction des besoins de fiabilité et de disponibilité des systèmes d’information, que ceux-ci sont bel et bien prêts à affronter les menaces et que les vulnérabilités sont palliées en conséquence.
