Même les programmes de sécurité les mieux conçus rencontrent des écarts. Que faire dans ces situations ?
Qu’est-ce que la clause 10.2 exige concrètement ?
La clause 10.2 de la norme ISO 27001:2022 demande que les organisations développent et maintiennent un processus pour traiter les non-conformités au programme de sécurité.
Concrètement, cela implique d’identifier et d’évaluer les écarts par rapport aux exigences de la norme ou aux politiques internes, d’en analyser les causes profondes à l’aide d’outils comme la méthode des “5 Pourquoi”, de définir et prioriser des mesures correctives adaptées, de documenter chaque étape dans des registres appropriés et d’évaluer régulièrement l’efficacité des solutions implantées.
Ce processus doit être réalisé avec diligence, dans des délais raisonnables, et inclure un suivi rigoureux pour prévenir toute récurrence du problème. Cela passe souvent par la réalisation d’audits internes ou externes. Ces audits constituent des moments privilégiés pour identifier clairement les écarts. Toutefois, selon la taille et le type d’entreprise, d’autres vérifications ponctuelles ou systématiques peuvent également être mises en place pour repérer les non-conformités dans des processus spécifiques ou lors d’événements critiques.
La clause 10.2 trouve son origine dans les principes fondamentaux de l’amélioration continue, qui est la pierre angulaire des systèmes de gestion normalisés, notamment dans le cadre de l’approche Planifier-Exécuter-Vérifier-Agir (PDCA). Elle agit comme un mécanisme réactif et proactif pour rectifier les défaillances identifiées lors des audits internes ou externes, des revues de direction ou des incidents liés à la sécurité de l’information. Elle joue un rôle complémentaire en établissant un cycle continu d’amélioration qui renforce la résilience de l’organisation face aux menaces.
La perfection n’existe pas, mais l’amélioration continue permet de toujours avancer.
Procédure de gestion des Non-Conformités
Cette procédure vise à décrire les étapes à suivre pour identifier, traiter et prévenir les non-conformités dans le cadre du SGSI, assurant ainsi la conformité avec la clause 10.2 de l’ISO 27001:2022.
Responsabilités :
Auditeurs, gestionnaires ou responsables opérationnels : Surveillent et signalent les non-conformités.
Responsable de la sécurité de l’information : Analyse les causes, planifie les actions correctives et en suit l’exécution.
Direction : Valide les actions correctives et assure leur alignement avec les objectifs stratégiques.
Étape de la procédure de gestion des non-conformités
a) Identification :
Surveillez régulièrement les processus et effectuez des audits internes ou externes pour repérer les écarts. Détectez également les non-conformités via des incidents signalés par le personnel.
Proposez un formulaire standard pour signaler les non-conformités. Cela peut se faire via des formulaires numériques, des plateformes comme SharePoint ou Jira, ou par notification directe au responsable SGSI.
La procédure doit autoriser tous les employés à signaler des écarts sans crainte. Les informations à inclure dans le formulaire: Date de détection, description de la non-conformité, système concerné, clause affectée, impact potentiel et priorités.
Exemples de non conformité
1) Ne pas réviser régulièrement les accès aux systèmes critiques.
2) Ne pas effectuer de tests de reprise des sauvegardes.
3) Ne pas gérer une vulnérabilité importante dans les délais appropriés.
b) Réaction immédiate si nécessaire
Lorsqu’une non-conformité est détectée, l’organisation doit immédiatement prendre acte et réagir en mettant en place un correctif temporaire, si nécessaire, afin d’éviter tout incident en attendant une analyse approfondie. Ce correctif garantit la continuité des opérations tout en minimisant les risques jusqu’à ce qu’une solution durable soit définie.
c) Analyse des causes :
La méthode des “5 Pourquoi” est une approche simple mais puissante pour identifier les causes profondes d’une non-conformité ou d’un problème. Elle consiste à poser la question “Pourquoi ?” de manière répétée, habituellement cinq fois, jusqu’à ce que la cause fondamentale soit mise en évidence.
Si nécessaire, tenez une réunion avec les parties concernées afin de réaliser l’exercice ou valider la cause racine. Cette étape est cruciale pour confirmer que la non-conformité a été correctement identifiée et que ses implications ont bien été comprises.
d) Planification :
Définissez des actions correctives pour traiter la cause profonde de la non-conformité et empêcher sa récurrence. Ces actions doivent être adaptées au contexte, réalistes et alignées sur les objectifs de sécurité de l’organisation. Attribuez clairement la responsabilité de leur mise en œuvre à une personne désignée, en établissant des échéanciers précis pour assurer un suivi.
Si la mise en œuvre des actions correctives nécessite des modifications au Programme de sécurité (SGSI), l’organisation doit respecter la procédure définie par la clause 6.3 de la norme ISO 27001. Cette clause encadre la gestion des changements, garantissant que toute modification est planifiée, exécutée et évaluée de manière contrôlée afin de préserver l’intégrité et l’efficacité du SGSI.
e) Mise en œuvre :
Appliquez les mesures planifiées en impliquant les équipes nécessaires.
Assurez-vous que les employés comprennent et suivent les nouvelles directives. Formez-les si requis pour garantir l’adoption des changements.
f) Suivi et vérification :
Réalisez des vérifications après la mise en œuvre des actions correctives pour évaluer leur efficacité et vérifier si elles permettent de résoudre correctement la non-conformité. Une personne désignée doit être responsable de cette évaluation, en s’assurant que les mesures prises répondent aux attentes et corrigent la cause racine.
De plus, examinez régulièrement les registres des non-conformités pour détecter des tendances ou des problèmes récurrents. Cette analyse proactive permet d’identifier des domaines nécessitant une amélioration continue et d’anticiper les risques avant qu’ils ne deviennent critiques, renforçant ainsi la résilience globale du SGSI.
Indicateurs de performance :
- Temps moyen pour identifier et traiter une non-conformité.
- Taux de récurrence des non-conformités après actions correctives.
- Pourcentage d’actions complétées dans les délais prévus.
Documentation
Documentez les détails de chaque non-conformité dans un registre formel. Le registre devrait inclure :
- Un identifiant unique pour chaque non-conformité.
- Une description détaillée de la non-conformité.
- La clause de la norme concernée par la non-conformité
- La date de détection de la non-conformité.
- La cause racine identifiée.
- Un plan d’action à court terme pour régler la non-conformité si nécessaire.
- Un plan d’action à long terme pour éviter la récurrence.
- Le responsable du plan d’action.
- Prochaine dates de suivi du plan d’action
- Les critères de succès pour valider la mise en place des actions correctives.
Les pièges courants :
- Ne remettez pas à demain ce qui peut être fait aujourd’hui. Traitez les non-conformités dès qu’elles sont détectées.
- S’attaquer uniquement aux symptômes sans traiter la cause racine, c’est comme pelleter la neige sans déneiger l’entrée.
- Gardez une trace écrite de tout le processus pour assurer la transparence et faciliter les audits futurs.
- Une équipe informée et engagée est votre meilleure défense contre les non-conformités.
Critères de Succès
Voici quelques questions qu’un auditeur pourrait poser pour valider la conformité à la clause 10.2 de la norme ISO 27001:2022 :
- Comment identifiez-vous et documentez-vous les non-conformités du SGSI ?
- Comment analysez-vous les causes profondes des non-conformités ?
- Pouvez-vous fournir des exemples récents d’actions correctives mises en œuvre et leur résultat ?
- Comment vérifiez-vous l’efficacité des actions correctives ?
- De quelle manière le processus de gestion des non-conformités est-il documenté ?
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
