ISO27001 Clause 4.1 — Comprendre l’organisation et son contexte

Pour commencer, sommes-nous capables de définir qui est l’organisation en termes clairs?

Cette étape consiste à déterminer les enjeux internes et externes d’une organisation. C’est un processus important pour comprendre les risques auxquels l’entreprise est exposée. Il permet également de définir les objectifs de sécurité de l’information et les exigences en matière de conformité qui s’appliquent à l’entreprise.

Enjeux internes

Les enjeux internes à une organisation sont les risques et les opportunités qui découlent des activités internes de l’entreprise. Ils peuvent inclure les processus opérationnels, les systèmes informatiques, les employés, les ressources et les politiques de l’entreprise. Les enjeux internes peuvent avoir un impact direct sur les performances de l’entreprise et sur sa capacité à atteindre ses objectifs.

Voici quelques exemples d’enjeux internes qui peuvent affecter les performances de l’entreprise:

• Les processus opérationnels inefficaces qui entraînent des retards ou des coûts supplémentaires.
• Les systèmes informatiques obsolètes ou vulnérables aux attaques de cybersécurité.
• Les employés qui ne sont pas suffisamment formés ou motivés pour accomplir leurs tâches.
• Les ressources limitées qui empêchent l’entreprise de saisir des opportunités de croissance.
• Les politiques ou les procédures qui ne sont pas adaptées aux besoins de l’entreprise ou qui ne sont pas suffisamment suivies.

Enjeux externes

Les enjeux externes sont les facteurs qui peuvent avoir une influence sur une organisation et qui ne sont pas contrôlés par elle. Ces enjeux peuvent comprendre des forces macroéconomiques, le contexte politique ou social, la technologie et les réglementations existantes. Les organisations doivent surveiller ces facteurs pour anticiper les changements et prendre des décisions informées sur les stratégies à adopter pour réussir.

Voici quelques exemples d’enjeux externes qui peuvent affecter les performances de l’entreprise:

• Les conditions économiques difficiles qui réduisent la demande pour les produits ou les services de l’entreprise.
• Les tendances du marché qui évoluent rapidement et qui obligent l’entreprise à s’adapter rapidement.
• Les réglementations qui changent et qui peuvent coûter cher à l’entreprise pour s’y conformer.
• Les changements technologiques qui peuvent améliorer les performances de l’entreprise ou la rendre obsolète.
• Les crises (naturelles, sanitaires, etc.) qui peuvent perturber les activités de l’entreprise et affecter les employés et les clients.
• Les menaces de sécurité comme la cyberattaque qui peuvent causer des pertes financières et endommager la réputation de l’entreprise.

FFOM

Une technique utilisée pour déterminer les enjeux internes et externes d’une organisation consiste à réaliser une analyse de type FFOM ou “SWOT — Strengh, weakness, opportunity and threats” (forces, faiblesses, opportunités et menaces). C’est un outil utile pour aider les organisations à comprendre leur situation actuelle.

Voici comment faire une analyse SWOT :

1. Identifiez les forces de l’entreprise, c’est-à-dire les aspects internes qui lui donnent un avantage compétitif tels que:

• Les talents, les connaissances, les expériences et les compétences de ses employés, qui lui donnent un avantage sur les concurrents.
• les atouts de l’entreprise, tels que les marques fortes, les relations avec les clients, les partenariats, les technologies propriétaires, les brevets, etc.
• les avantages concurrentiels de l’entreprise, tels que les coûts de production inférieurs, les échéances de livraison plus courtes, les avantages fiscaux, etc.
• les avantages liés à la qualité de service, comme les déchéances de livraison plus courtes, la disponibilité des produits, la qualité des produits, l’expérience client, etc.
• Les ressources uniques de l’entreprise, telles que les actifs financiers, les actifs matériels, les actifs immatériels et les actifs humains.
• les capacités de l’entreprise, telles que les compétences de recherche et développement, les capacités de production, les capacités logistiques, etc.

2. Identifiez les faiblesses de l’entreprise, c’est-à-dire les aspects internes qui la désavantagent par rapport à ses concurrents, comme:

• Une structure de l'organisation mal conçue peut entraîner des conflits internes, une communication inefficace et une mauvaise utilisation des ressources.
• La gestion inadéquate peut causer des problèmes tels que le manque de motivation des employés, la résistance au changement et un manque de direction claire.
• Des processus inefficaces ou obsolètes peuvent entraîner des retards, des erreurs et un manque de qualité dans les produits ou les services de l'entreprise.
• Un manque de talents qualifiés, un taux élevé de rotation du personnel et des relations de travail tendues peuvent tous affecter les performances de l'organisation.
• L'utilisation d'une technologie obsolète ou inadaptée peut entraîner des retards, des coûts supplémentaires et une mauvaise performance.
• Une mauvaise stratégie ou un manque de planification à long terme peut entraîner une perte de marché, des opportunités manquées et des déficits financiers.
• Une communication inefficace entre les employés, les départements et les niveaux hiérarchiques peut entraîner des malentendus, des erreurs et un manque de coopération.

3. Identifiez les opportunités externes à saisir, c’est-à-dire les facteurs externes qui pourraient améliorer les performances de l’entreprise. Il existe de nombreux types d’opportunités qui peuvent améliorer les performances d’une organisation. Voici quelques exemples :

• Des opportunités de marché qui inclut l’expansion dans de nouveaux secteurs, l’acquisition de nouveaux clients ou la croissance des parts de marché existantes.
• Changement au niveau des produits ou des services comme l’ajout de nouveaux, la modification de produits existants pour les rendre plus compétitifs ou la diversification de ceux-ci.
• Les opportunités au niveau technologiques qui peuvent inclure l’utilisation de nouveaux outils et technologies pour améliorer les processus, réduire les coûts ou améliorer les produits ou services.
• Des partenariats avec d’autres entreprises pour partager les coûts, les risques et les compétences.
• L’acquisition de talents qualifiés, la formation et le développement des employés existants ou la promotion de la diversité et de l’inclusion.
• Des opportunités d’investissements pour financer de nouveaux projets, une réduction des coûts ou une diversification des sources de financement.
• Les changements réglementaires peuvent inclure de nouvelles normes ou réglementations touchant l’organisation ou ses clients.

4. Identifiez les menaces, c’est-à-dire les facteurs externes qui pourraient nuire aux performances de l’entreprise. Voici quelques exemples:

• Une concurrence accrue;
• Les fluctuations économiques;
• L’émergence de nouvelles technologies peut rendre les produits ou services existants obsolètes ou moins compétitifs;
• Des changements réglementaires entraînant des coûts supplémentaires ou des restrictions sur les manières de faire de l’organisation;
• Les perturbations dans les chaînes d’approvisionnement peuvent entraîner des retards, des coûts supplémentaires et une baisse de la qualité des produits ou des services.
• Le manque et la perte de talents, les grèves, les conflits de travail;
• Les attaques aux systèmes d’information, les pertes de données et les perturbations de la continuité des activités;
• Les événements climatiques, les événements imprévus et les perturbations de la société.

Critère de succès

Afin de déterminer si nous avons bien répondu à la clause 4.1, voici quelques questions qu’un auditeur peut vous poser:

• Quelles sont la mission, la vision et les valeurs de l’organisation?
• À quel endroit sont documentés les enjeux interne et externe?
• Comment avez-vous déterminé les enjeux internes et externes de l’organisation?
• Expliquez-moi en quoi ces enjeux vont empêcher le SGSI de fonctionner, avez-vous documenté ces menaces sur la sécurité de l’information?