Analyse Loi 25
Pour nous joindre
Normes & gouvernance
21 juillet 2023

ISO 27001 — Clause 6.3 — Planification des changements

La planification des changements dans un système de gestion de la sécurité de l’information (SGSI) est importante pour plusieurs raisons, premièrement, elle aide à minimiser l’impact sur les opérations.

Puis il faut savoir que les changements non planifiés peuvent provoquer des panne ou mauvais fonctionnement pour l’organisation.

Avez-vous déjà installé une mise à jour un vendredi après-midi ? Avez-vous toujours eux une belle soirée par la suite ?

C’est pourquoi une bonne planification permet de prévoir et de gérer ces éventuelles perturbations, en assurant une transition fluide.

Dans la clause 6.3, nous ciblons les changements au niveau du SGSI, des politiques, de la gouvernance, des objectifs, indicateur de performances etc.

Une gestion des changements implique une planification à l’avance d’une modification au SGSI.

Photo by Chris Lawton on Unsplash

Il faut se rappeler qu’en matière de prévention des risques, la planification joue un rôle important. Un changement non planifié ou mal géré peut introduire des vulnérabilités dans les systèmes et donc augmenter le risque d’incidents de sécurité ou des temps d’arrêt imprévus pouvant provoquer des pertes de productivité, et même la perte de données et/ou de services.

Pour être conforme à cet objectif de planification, une organisation doit suivre les mêmes étapes que lors de la gestion des changements opérationnels.

  1. Identifier le besoin de changement : il s’agit de la première étape au cours de laquelle l’organisation doit déterminer quels aspects du système de gestion de la sécurité de l’information (SGSI) nécessitent des modifications. Cela pourrait résulter suite à une analyse des risques, d’un audit interne, d’un incident de sécurité, d’une non-conformité observée, d’une évolution technologique, légale, réglementaire, ou encore d’un retour d’expérience. Donc pourquoi on fait un changement?
  2. Planification du changement : Une fois le besoin identifié, il faut alors planifier le changement. Cela comprend l’élaboration d’un plan détaillé qui spécifie quoi changer, comment le changer, qui sera responsable du changement, ainsi que le calendrier du changement. La planification doit aussi prendre en compte l’évaluation des impacts potentiels sur la sécurité de l’information, ainsi que sur les opérations et les ressources de l’organisation. L’organisation doit réfléchir à ce qui est nécessaire pour que le changement soit mis en place avec succès en termes de ressources nécessaires. (ne pas oublier de faire approuver le plan par les parties intéressées)
  3. Mise en œuvre du changement : Après la planification, le changement doit être mis en œuvre conformément au plan établi. Cela peut impliquer la modification de politiques, de processus, de procédures, de systèmes, de technologies ou de formations du personnel.
  4. Suivi et revue du changement : Une fois le changement mis en œuvre, il doit être surveillé et revu pour s’assurer qu’il a été effectué correctement et qu’il atteint l’objectif prévu. Cela peut nécessiter des audits, des contrôles, des tests de sécurité, ou des revues de direction. Concrètement on se demande, qui vérifiera que le changement est bien en en place? L’audit interne ou externe est très utile à cette étape.
  5. Documentation : Toutes les étapes du processus de changement, y compris l’identification du besoin, la planification, la mise en œuvre et la revue, doivent être documentées. Cela garantit que l’organisation peut démontrer sa conformité à cette exigence. Ce document peut se faire dans un registre de type “Excel” ou un système de billets afin d’en garder l’historique.

Voyez ces items comme les points de votre registre de gestion des changements. Celui-ci pourrait être plus élaboré, mais ces étapes sont minimales pour le succès d’une planification de changement.

Critères de succès

Afin de déterminer si nous avons bien répondu à la clause 6.3 de la norme ISO27001, voici quelques questions qu’un auditeur pourrait vous poser:

  • Comment évaluez-vous les impacts potentiels sur la sécurité de l’information lors de la planification des changements ?
  • Pouvez-vous fournir un exemple d’un plan de changement récent ?
  • Qui est responsable de la mise en œuvre de ces changements ?
  • Comment surveillez-vous et revoyez-vous les changements apportés au SGSI ?
  • Où et comment les processus de changements sont-ils documentés ?

Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.

Patrick Boucher
Président fondateur
25+ ans d’expérience en sécurité, piratage éthique, continuité des affaires
Écrivez-nous

Formulaire Sticky Services

Envie de travailler avec nous ?

Parlez-nous de vos enjeux. On verra rapidement si on est la bonne équipe pour vous.
Discutons ensemble