Mise en place d’un SMSI

Etape 3:
Evaluation des performances
Etape 4:
Maintien et amélioration
Saber ISSA
2
 P: Planifier
1 Compréhension de l’organisme

2 Analyse du système existant

3 Leadership et approbation du projet

4 Domaine d’application

5 Politique de sécurité

6 Structure organisationnelle

7 Management du risque
 D: Déployer

1 Documentation

2 Mise en œuvre des processus et mesures

3 Communication

4 Sensibilisation et formation

5 Gestion des opérations

 C: Contrôler

1 Surveillance, mesure, analyse et évaluation

2 Audit interne

3 Revue de direction
 C: Contrôler

1 Surveillance, mesure, analyse et évaluation

2 Audit interne

3 Revue de direction
 C: Surveillance, mesure, analyse et évaluation du SMSI
Objectifs de cette étape
 Evaluer les performances de sécurité de l’information.
 Evaluer l’efficacité du SMSI mis en œuvre.

7
 C: Surveillance, mesure, analyse et évaluation du SMSI
Exigences de la norme ISO 27001
Clause 9.1 Surveillance, mesures, analyse et évaluation
L’organisation doit évaluer les performances de sécurité de l’information
ainsi que l’efficacité du SMSI.

8
 C: Surveillance, mesure, analyse et évaluation du SMSI
Détermination des objectifs de mesurage
 La norme n’indique pas ce qui doit être surveillé ou mesuré.
 Il dépend de l’organisme de déterminer ce qui doit être surveillé et
mesuré.
 Il est de bonne pratique de se concentrer sur la surveillance et le
mesurage des activités liées aux processus critiques qui permettent à
l’organisme de réaliser ses objectifs de SI.
 Trop de mesures peut brouiller ce qui est vraiment important.

9
 C: Surveillance, mesure, analyse et évaluation du SMSI
Le processus de surveillance et de mesure vise à:
1) Déterminer les objectifs de mesurage;
2) Sélectionner les attributs des objets qui peuvent être mesurés;
3) Créer des indicateurs de performance.
Exemple:
1) Objectif de mesurage: S’assurer que tous les employés sont
sensibilisés aux risques majeurs auxquels l’organisme fait face.
2) Attribut: l’employé qui a suivi la session de sensibilisation.
3) Indicateur de performance: % des employés qui ont suivi la
session de sensibilisation et qui ont réussi le test.

10
 C: Surveillance, mesure, analyse et évaluation du SMSI
Les objectifs de mesurage permettent de:
 Evaluer l’efficacité des processus et des procédures mis en œuvre;
 Vérifier le degré de respect des exigences de la norme;
 Fournir des éléments de base pour la revue de direction afin de
faciliter la prise de décision.

11
 C: Surveillance, mesure, analyse et évaluation du SMSI
– Les indicateurs doivent être soigneusement sélectionnées car:
 Ils déterminent les voies à suivre pour réaliser les objectifs de
l’organisme.
 Ils seront les vecteurs pour déduire le succès ou l’échec du SMSI.

La règle SMART pour développer les indicateurs:

S: Spécifique: clair, précis, n’est pas ambigu.
M: Mesurable: quantifié, comparable.
A: Acceptable ou atteignable: raisonnable favorisant ainsi l’adhésion des
participants et formulé d’un commun accord. Ainsi, l’objectif sera plus
facilement accepté.
R: Réaliste: on l’atteindre avec les ressources dont nous disposons.
T: Temporellement défini: délimité dans le temps par des termes précis
comme « dans 3 mois » et non pas par des termes flous comme « le plus
rapidement possible ».

12
 C: Surveillance, mesure, analyse et évaluation du SMSI
Détermination de la fréquence et méthode de surveillance et de
mesure
– La norme n’indique pas comment ni à quelle fréquence la surveillance
et la mesure doivent être réalisées ou évaluées.
– Il dépend de l’organisme de déterminer comment surveiller, mesurer
et à quelle fréquence.
– Il est de bonne pratique d’utiliser des tableaux de bord pour
enregistrer et rapporter les activités de surveillance et de mesure
grâce à des indicateurs de performance.
– Il convient que les tableaux de bord indiquent la performance réelle
par rapport aux cibles de performance prédéterminés.
– Des tableaux de bord par public cible: tableau de bord stratégique,
tableau de bord tactique, tableau de bord opérationnel.

13
 C: Contrôler

1 Surveillance, mesure, analyse et évaluation

2 Audit interne

3 Revue de direction
 C: Audit interne
Objectifs de cette étape
 Valider si les exigences du SMSI ont été satisfaites;
 Evaluer l’efficacité du SMSI mis en œuvre.

15
 C: Audit interne
Exigences de la norme ISO 27001
Clause 9.2 Audit interne
L’organisation doit réaliser des audits internes à des intervalles planifiés afin
de recueillir des informations permettant de déterminer si le SMSI est
conforme aux exigences et est efficacement mis en œuvre et tenu à jour.

16
 C: Audit interne
Qu’est ce qu’un audit ?
ISO 19011
processus systématique, indépendant et documenté permettant
d’obtenir des preuves d’audit et de les évaluer de manière objective
pour déterminer dans quelle mesure les critères d’audit sont
satisfaits

17
 C: Audit interne
Types d’audit
Réalisé par l’organisme lui-même
Audit interne ou
L’indépendance doit être montrée par l’absence de
audit de 1ère partie
responsabilité face à l’activité à auditer
Réalisé par une partie ayant un intérêt à l ’égard de
Audit externe de
l’organisme audité
second partie
Exemple: le client audite l’organisme qui audite le fournisseur

Audit externe de Réalisé par un organisme d’audit externe et indépendant

tierce partie Exemple: organisme certificateur ISO 27001

18
38
 C: Audit interne
Nomination du responsable d’audit interne
Rôles et responsabilités
 Gérer un programme d’audit interne;
 Planifier les activités d’audits;
 Gérer les ressources;
 Établir des critères de performance et s’assurer que la réalisation d’un
audit satisfait à ces critères;
 Rédiger des rapports d’audits;
 S’assurer du respect des bonnes pratiques d’audit et des procédures
d’audit définies lors de l’exécution de l’audit;
 Mettre en place un processus d’évaluation continue des auditeurs;
 Effectuer le suivi des non-conformités et des recommandations des
audits internes et externes.

19
 C: Audit interne
Programme d’audit
ISO 19011
Définition
Dispositions relatives à un ensemble d’un ou plusieurs audits planifié pour
une durée spécifique et dirigé dans un but spécifique.
Contenu:
 Objectifs du programme d’audit et des audits individuels;
 L’étendu, le nombre, les types, la durée, les lieux, le calendrier des audits;
 Les procédures de programme d’audit;
 Les critères d’audit;
 Les méthodes d’audit;
 La constitution des équipes d’audit;
 Les ressources nécessaires, y compris les déplacements et l’hébergement;
 Les processus de traitement des questions relatives à la confidentialité, à la
sûreté des informations, à la santé et à la sécurité, et autres sujets
similaires.
20
 C: Audit interne
Etablissement de l’indépendance, l’objectivité et l’impartialité
– Les auditeurs internes doivent être indépendants des processus audités et
ne doivent pas assumer des rôles opérationnels reliés au domaine
d’application.
– Une personne peut cumuler des fonctions d’opération et d’audit seulement
si les deux sphères d’activités concernées ne sont pas liées.
 bien documenter les descriptions de fonctions afin d’éviter les conflits
d’intérêt potentiels et une violation du principe d’indépendance.
– En cas d’un petit organisme, possibilité d’externaliser la fonction d’audit
interne à un tiers.

21
 C: Audit interne
Allocation et gestion des ressources du programme d’audit
Pour mettre en œuvre un programme d’audit interne, l’organisme doit
s’assurer de fournir les ressources nécessaires à son fonctionnement:
 le personnel compétent pour réaliser les audits: auditeurs et experts
techniques;
 Les outils de travail: ordinateurs, logiciels, etc.
 les ressources financières nécessaires pour développer, mettre en œuvre,
gérer et améliorer le programme d’audit;
 La logistique.

22
 C: Audit interne
Non-Conformités
– Une non-conformité est une non-satisfaction d’une exigence.
– L’auditeur doit documenter une non-conformité confirmée:
 La preuve appuyant les constats d’audit;
 La description des exigences pour lesquelles la NC a été détectée
(critères d’audit);
 Le rapport de non-conformité.
– L’auditeur interne doit effectuer le suivi des plans d’action déposés suite à
des NCs issues des audits internes et externes.

23
 C: Contrôler

1 Surveillance, mesure, analyse et évaluation

2 Audit interne

3 Revue de direction
 C: Revue de direction
Objectifs de cette étape
 S’assurer que le SMSI mis en place est toujours approprié, adapté et
efficace.

25
 C: Revue de direction
Exigences de la norme ISO 27001
Clause 9.3 Revue de direction
La Direction doit procéder, à des intervalles planifiés, à la revue du SMSI mis
en place afin de s’assurer qu’il est toujours approprié, adapté et efficace.

26
 C: Revue de direction
– La revue de direction doit être effectuée à intervalles planifiés (au
moins une fois par an).
– Peut être incluse dans une réunion générale de la direction et être un
élément à l’ordre du jour.
– La revue de direction doit être documentée.
– Les conclusions de la revue de direction comprend:
 Les opportunités d’amélioration continue;
 Les éventuels changements à apporter au SMSI.
– Les responsable du SMSI et l’équipe d’audit interne ont la
responsabilité d’assurer le suivi des plans d’action approuvés par la
direction

27
 C: Revue de direction
Ordre du jour
– Etat d’avancement des actions décidées à l’issue des revues de
direction précédentes;
– Modifications des enjeux externes et internes pertinents pour le SMSI;
– Résultats d’audit;
– NCs et actions correctives;
– Résultats de l’évaluation de la surveillance et des mesures;
– Degré de réalisation des objectifs de sécurité de l’information;
– Retours d’information des parties intéressées;
– Résultats de l’appréciation et du traitement des risques et l’état
d’avancement du plan de traitement des risques;
– Opportunités d’amélioration continue.

28
 A: Agir

1 traitement des non-conformités

2 Amélioration continue
 A: Agir

1 traitement des non-conformités

2 Amélioration continue
 A: Traitement des non-conformités
Objectifs de cette étape
 Eliminer les causes de non-conformités;
 Améliorer en permanence l’efficacité du SMSI.

31
 A: Traitement des non-conformités
Exigences de la norme ISO 27001

Clause 10.1 Non-conformités et actions correctives

Quand une non-conformité se produit, l’organisme doit:
 Réagir à la NC;
 Evaluer les besoins de mener une action pour éliminer les causes de la
NC;
 Mettre en place toute action requise;
 Réviser l’efficacité de toute action corrective prise;
 Modifier, si nécessaire, le SMSI.

32
 A: Traitement des non-conformités
‒ Une action corrective est une action entreprise pour éliminer les
causes profondes d’une non-conformité et pour empêcher sa
récurrence.
‒ Le processus d’action corrective inclut:
 Identification de la non-conformité: définir et documenter la
non-conformité et ses impacts sur l’organisme.
 Analyse des causes: analyser les sources à l’origine de la non-
conformité et identifier les causes profondes.
 Evaluation des solutions: élaborer une liste d’actions correctives
possibles et évaluer différents plans d’action.
 Choix de solution: sélectionner une ou plusieurs actions
correctives afin de corriger la situation et déterminer les objectifs
d’amélioration visés. La solution choisie doit corriger le problème
et devrait permettre d’éviter qu’une situation similaire se
produise à nouveau.

33
 A: Traitement des non-conformités
‒ Le processus d’action corrective inclut (suite):
 Mise en œuvre du plan d’action: mettre en œuvre et
documenter toutes les actions décrites dans le plan d’action
correctif qui a été approuvé.
 Suivi des actions correctives : vérifier, par le responsable SMSI
et par l’auditeur interne, que les nouvelles actions correctives
sont en place et effectives.
 Revue des actions correctives: évaluer périodiquement que les
actions correctives demeurent efficaces et que les objectifs visés
sont atteint.

34
 A: Traitement des non-conformités
Plan d’action
‒ Un plan d’action pour chaque non-conformité et non un plan d’action
global pour toutes les non-conformités
‒ Doit permettre de corriger la non-conformité
‒ Doit inclure une période de réalisation raisonnable
‒ Doit permettre d’obtenir des résultats vérifiables
‒ Les plans d’action doivent être approuvés par la direction
‒ Suite à un audit, l’auditeur analysera la cause et évaluera si les actions
correctives retenues permettront d’éliminer les non-conformités
détectées dans une période de temps définie

35
 A: Agir

1 traitement des non-conformités

2 Amélioration continue
 A: Amélioration continue
Objectifs de cette étape
 Améliorer continuellement l’efficacité du SMSI;
 S’assurer que les objectifs du SMSI demeurent alignés avec les
objectifs Métier.

37
 A: Amélioration continue
Exigences de la norme ISO 27001

Clause 10.2 Amélioration continue

L’organisme doit améliorer continuellement la pertinence, l’adéquation
et l’efficacité du SMSI.

38
 A: Amélioration continue
‒ L’amélioration continue est un processus pour augmenter l’efficacité
et l’efficience de l’organisme à répondre à sa politique et à ses
objectifs

39
 A: Amélioration continue
Processus de suivi continue des facteurs de changement:
‒ Changements externes: lois et règlements, préoccupations et
exigences des clients et des fournisseurs, etc.
‒ Changements organisationnels: objectifs Métier, nouveau produit
ou service, changement dans le personnel, budget et ressources, etc.
‒ Changements dans les technologies: matériel informatique, logiciel,
processus IT, etc.
‒ Changement dans le SMSI: PSI, nouveau scénario de risque, résultats
des tests, résultats des audits, etc.

40
Préparation à l’audit de
certification
 Préparation à l’audit de certification
‒ Choix de l’organisme de certification: tierce partie qui exerce
l’évaluation de la conformité du SMSI.
‒ Préalable à l’audit :
 Un SMSI doit être en opération depuis un certain temps (au moins
d’un délai de 3 mois) afin de s’assurer d’avoir un historique de
fonctionnement.
 Au minimum un rapport d’audit interne doit être effectué ainsi
qu’une revue de direction.
‒ Préparation à l’audit:
1) Auto-évaluation;
2) Préparation du personnel;
3) Audit à blanc.

42