Analyse Loi 25
Pour nous joindre
Normes & gouvernance
26 février 2024

ISO27001 — Clause 8.1— Planification des opérations

La clause 8.1 de la norme ISO 27001 souligne l’importance de la planification et du contrôle rigoureux des opérations de sécurité de l’information au sein d’une organisation.

Concrètement, à la clause 6, nous avons défini nos objectifs, maintenant nous devons les rendre vivants.

Planification — Photo by Patrick Perkins on Unsplash

Comme les fondations pour une maison, la clause 8.1 est la base sur laquelle repose toute la structure d’un SGSI. Cette section essentielle de la norme façonne les actions à entreprendre pour planifier, mettre en œuvre, contrôler, évaluer et améliorer la sécurité des informations. Elle est le cœur de notre stratégie de protection des données.

L’importance de cette clause réside dans sa capacité à transformer les intentions stratégiques en actions concrètes et mesurables, assurant ainsi que les risques identifiés sont effectivement gérés et que les objectifs de sécurité sont atteints.

Cette clause contribue surtout à assurer la conformité aux du programme de sécurité versus les objectifs de sécurité de l’information définis dans le SGSI.

Elle met l’accent sur l’établissement de critères pour les processus, le contrôle de ces processus et la nécessité de documenter les informations pour prouver que les processus ont été exécutés comme prévu.

Décortiquons le tout

Planifier — Nous avons défini ce que nous voulons atteindre comme objectif, mais il faut avoir un plan de match sérieux et complet pour atteindre cet objectif. Par exemple s’il nous manque d’expérience, comment allons-nous l’obtenir ?

Mettre en œuvre — est-il possible d’opérationnaliser le plan, de le mettre en fonction et de le voir évoluer dans notre organisation.

Contrôler — avons nous définit des points de contrôle pour des items de notre plan de match, par exemple obtenir l’approbation de mettre en production doit inclure un plan de retour en arrière rapide. Alors, avons-nous ce plan de retour en arrière?

Évaluer — sans être en compétition avec la clause 9.1 de la norme, mais pouvons-nous évaluer le plan et sa mise en œuvre?

Améliorer — finalement, en lien avec la clause 10.1, suite à l’évaluation qu’on en fait du plan, l’organisation s’ajuste ou pose des actions?

Exemple de Non-conformité

Des fois pour comprendre une clause de la norme on doit l’attaquer à l’inverse et c’est ce qui se passe ici avec cette clause pivot.

Étant donné que celle-ci fait le lien entre plusieurs items, il est difficile parfois de voir sa spécificité, voici quelques exemples de non-conformité rencontrés dans le cadre de ma pratique:

  1. Absence de documentation adéquate : L’organisation ne documente pas ses processus, ses contrôles de sécurité de l’information et ses procédures opérationnelles.
  2. Mise en œuvre incohérente des contrôles : L’organisation n’a pas mis en œuvre de manière cohérente ses contrôles ou si leur mise en œuvre ne correspond pas aux risques identifiés et à la planification établie.
  3. Absence de preuves de contrôle opérationnel : Ne pas avoir de preuves ou d’enregistrements démontrant que les processus de sécurité de l’information et les contrôles sont effectivement surveillés, mesurés et contrôlés.
  4. Manque d’intégration dans les processus opérationnels : La sécurité de l’information n’est pas intégrée dans les processus opérationnels de l’organisation, et est traitée comme un élément séparé ou additionnel.
  5. Gestion insuffisante des changements : Si les changements dans les processus, les systèmes, ou les technologies ne sont pas correctement gérés en termes d’impact sur la sécurité de l’information, parce que les changements doivent être évalués, documentés et contrôlés pour maintenir la sécurité.
  6. Manque de réactivité aux résultats de surveillance : L’organisation ne prend pas de mesures correctives en réponse aux résultats de la surveillance et des revues de contrôle opérationnel tel que l’organisation ne réagissent pas aux lacunes détectées.
  7. Évaluation de l’efficacité insuffisante : Ne pas évaluer l’efficacité des actions et des contrôles de sécurité de l’information. Par exemple ne pas vérifier que notre antivirus fonctionne vraiment, ou que nos copies de sauvegarde sont toujours fonctionnelles.

La clause 8.1 est essentielle, car elle assure que les plans et les contrôles de sécurité de l’information sont non seulement conçus de manière stratégique (clause 6), mais aussi intègres et opérationnalisés efficacement au sein des processus quotidiens de l’organisation.

De plus, elle prépare le terrain pour la clause 9 en mettant en place les processus et contrôles qui seront évalués pour leur efficacité, permettant ainsi une amélioration continue basée sur des données concrètes.

Critères de succès

Afin de déterminer si nous avons bien répondu à la clause 8.1 de la norme ISO27001, voici quelques questions qu’un auditeur peut vous poser:

  1. L’organisation a-t-elle des plans pour atteindre ses objectifs de sécurité de l’information ?
  2. Y a-t-il suffisamment de documents pour garantir que les processus ont été suivis comme prévu ?
  3. Le processus de changements inclut-il les conséquences des changements imprévus et des mesures pour limiter les effets négatifs ?
  4. Les fournisseurs en lien avec le SGSI sont clairement définis et surveillés?

Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.

Patrick Boucher
Président fondateur
25+ ans d’expérience en sécurité, piratage éthique, continuité des affaires
Écrivez-nous

Formulaire Sticky Services

Envie de travailler avec nous ?

Parlez-nous de vos enjeux. On verra rapidement si on est la bonne équipe pour vous.
Discutons ensemble