Un artéfact est un résultat d’élément créé en sortie d’un processus ou d’un projet. Un artéfact peut être un document, un enregistrement, un rapport, un outil utilisé pour planifier, organiser, mettre en œuvre, surveiller et contrôler les activités liées au SGSI. C’est une preuve que l’activité à bien eu lieux.
Concrètement les artéfacts sont des éléments tangibles qui permettent de confirmer qu’un processus, une pratique et qu’une action a bel et bien été prise par l’organisation.
Vous affirmez avoir acheté le livre, alors où est la facture?
Comme l’auditeur doit confirmer que l’organisation est bien en maîtrise de ses procédures et mesures de sécurité, les artéfacts démontrent à l’auditeur que c’est le cas.
Exemple, lorsqu’un auditeur demande à l’organisation si un test de sécurité neutre et externe a été réalisé dans la dernière année. L’auditeur veut voir le contrat signé qui prouve bien l’embauche de la firme externe ainsi que le rapport produit.
Lorsqu’une organisation met en œuvre un système de gestion de la sécurité de l’information (SGSI) selon la norme ISO 27001, elle génère une variété d’artéfacts pour documenter et soutenir le fonctionnement du SGSI. Ces artéfacts sont essentiels pour démontrer la conformité lors des audits externes.
Voici les différents types d’artéfacts rencontré et demandé par les auditeurs, ceci n’est surtout pas une liste exhaustive. Les artéfacts peuvent être physiques ou numériques. De plus ces artéfacts peuvent être des preuves directes d’une activité ou indirectes.
Documents de politique
Les documents de politique définissent les règles et les principes de sécurité pour l’organisation. Les politiques formelles, comme la politique de sécurité de l’information, la politique d’accès et la politique de sensibilisation à la sécurité, sont des artéfacts clés que les auditeurs examinent pour évaluer l’engagement de l’organisation en matière de sécurité de l’information.
Procédures et processus documentés
Les procédures et les processus documentés sont des artéfacts qui décrivent les étapes et les responsabilités pour la mise en œuvre des contrôles de sécurité. Ils couvrent des domaines tels que la gestion des incidents de sécurité, la maintenance des actifs, la gestion des accès et la sauvegarde des données. Les auditeurs examinent ces documents pour évaluer si les contrôles de sécurité sont correctement définis et appliqués.
Registres et journaux
Les registres et les journaux d’évènements sont des artéfacts qui permettent de suivre et de surveiller les activités de sécurité de l’organisation. Par exemple ils peuvent inclure des registres d’incidents de sécurité, des journaux d’accès aux systèmes, des registres de maintenance des actifs et des registres de formation et de sensibilisation à la sécurité. Les auditeurs utilisent ces artéfacts pour vérifier si les processus de sécurité sont effectivement mis en œuvre et contrôlés.
Minutes de réunion
Les minutes de réunion servent de preuve que les questions de sécurité de l’information sont régulièrement abordées et discutées au sein de l’organisation. Les auditeurs examineront les minutes des réunions du comité de direction du SGSI, des réunions de revue de direction et des réunions de gestion des incidents pour évaluer l’engagement de la direction et la coordination des efforts de sécurité.
Plans et rapports
Des exemples de planification et les rapports des activités sont des artéfacts qui démontrent également le suivi des activités de sécurité de l’organisation. Cela peut inclure des plans de traitement des risques, des rapports d’évaluation des risques, des plans de continuité des activités et des rapports d’audit interne. Les auditeurs utilisent ces documents pour s’assurer qu’une approche structurée et systématique est en place pour gérer les risques de sécurité de l’information.
Artéfacts manuel ou automatique?
Les artéfacts manuels et automatisés sont deux catégories distinctes d’éléments créés par des individus ou des systèmes. Chacun de ces types d’artéfacts a ses propres caractéristiques et applications. Voici quelques différences notables entre les artéfacts manuels et automatisés ainsi que leurs utilisations dans divers contextes.
Artéfacts manuels :
- Création : Les artéfacts manuels sont créés par des individus à l’aide de processus non automatisés, qui peuvent inclure la rédaction, le dessin, un courriel, un billet dans un système de suivis, etc.
- Originalité : Les artéfacts manuels ont souvent une touche personnelle et peuvent refléter l’individualité, les compétences et les idées de leur créateur.
- Contrôle : Les artéfacts manuels permettent un contrôle direct et intentionnel sur leur création, ce qui peut être essentiel dans certaines situations où la précision et le détail sont primordiaux.
- Utilisation : Les artéfacts manuels sont couramment utilisés dans les entreprise peu mature, qui comporte beaucoup d’activité reposant sur un seul individue ou un petit groupe.
Malheureusement ces artefacts sont moins fiable compte tenu qu’elle peuvent avoir été crée manuellement quelques minutes avant un audit.
Artéfacts automatisés :
- Création : Les artéfacts automatisés sont générés par des machines, des logiciels ou des systèmes automatisés, sans intervention humaine directe.
- Uniformité : Les artéfacts automatisés sont souvent plus uniformes et cohérents, car ils sont produits en suivant des règles et des processus prédéfinis.
- Efficacité : La création d’artéfacts automatisés peut être plus rapide et efficace que celle d’artéfacts manuels, car les machines et les systèmes peuvent traiter de grandes quantités de données et effectuer des tâches complexes en peu de temps.
- Utilisation : Les artéfacts automatisés sont couramment utilisés dans les entreprises plus mature et ayant des procédures solide, répétable disposant d’une équipe plus grande.
Les artéfacts automatisés sont généralement plus adaptés et appréciés en raison de leur efficacité et de leur précision.
Finalement, il faut considérer la préservation de ces artéfacts numériques , ils nécessitent la protection des données contre la corruption, la perte et l’obsolescence technologique en effectuant des sauvegardes, utiliser des formats standards ou durables et qui permets des mises à jours ou migrations vers de nouveaux systèmes facilement.
Souvenez-vous — Les artéfacts doivent être crédible, le plus fiable possible puisque vous devez démontrer votre gestion devant une personne qui vous évalue.
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
