Analyse Loi 25
Pour nous joindre
Normes & gouvernance
5 Décembre 2024

ISO27001 — Clause 9.1— Suivre notre tableau de bord

La clause 9.1 de la norme ISO27001:2022 exige que les organisations effectue la surveillance concrètement de leur système de gestion de la sécurité de l’information (SGSI).

Concrètement, nous avons définit les objectifs de sécurité de notre programme de sécurité lors de la mise en œuvre de la Clause 6.2. Maintenant nous devons en faire la surveillance. Obtenir les indicateurs de performance et comparer nos résultats avec nos objectifs!

Ici on souhaite mesurer notre succès, en établissant des critères clairs et des indicateurs mesurables qui nous permets d’évaluer concrètement les progrès faits par les équipes.

Avons-nous atteint nos objectifs ou avons-nous besoin d’améliorer notre programme de sécurité ?

Target — Photo by Afif Ramdhasuma on Unsplash

Surveillance et Mesure

Pour une petite entreprise, je crée un fichier de type tableur, puis j’indique les informations dans des colonnes.

  • L’objectif que l’on souhaite atteindre, par exemple réduire de 20 % les incidents de sécurité d’ici la fin de l’année.
  • Les ressources nécessaires, par exemple les outils, licences, ou autres prérequis comme des formations spécifiques ou des équipements de sécurité.
  • Qui est responsable de faire la collecte et l’analyse de l’information, par exemple le responsable sécurité ou un membre spécifique de l’équipe IT.
  • Comment l’analyse sera effectuée, par exemple en utilisant des audits mensuels, des rapports automatisés ou des revues trimestrielles.
  • Les critères d’évaluation, tels que vert, jaune, et rouge. La couleur verte indique que les objectifs sont atteints, jaune indique des résultats moyens qui nécessitent une attention particulière, et rouge indique un écart important qui demande des actions immédiates.
  • La cible qui représente un succès, par exemple atteindre 95 % de conformité avec les politiques de sécurité internes.

Par la suite, je crée une colonne supplémentaire par période d’évaluation, tel que Q1, Q2, Q3 et Q4, pour suivre l’évolution de chaque indicateur au cours de l’année. Chaque trimestre, les données sont mises à jour afin d’évaluer les progrès accomplis, et des mesures correctives sont planifiées en cas de besoin.

Ce fichier représente alors mon tableau de bord simplifié. Il permet d’avoir une vue d’ensemble sur l’état actuel de la sécurité de l’information au sein de l’entreprise, de voir rapidement les points qui nécessitent une amélioration, et de s’assurer que les ressources allouées aux objectifs sont suffisantes et bien utilisées.

En fin d’année, cela permet aussi de faire une rétrospective des actions et des améliorations apportées, et de planifier plus efficacement les objectifs pour l’année suivante.

Étapes

  1. Reprendre les objectifs définis à la clause 6.2 : Assurez-vous que les objectifs de votre SGSI sont clairs. Par exemple, un objectif pourrait être que 95 % des employés suivent une formation annuelle sur la sécurité de l’information.
  2. Planifier le suivi de l’atteinte des objectifs : Quand voulons-nous vérifier leur statut ? Par exemple, mensuellement, trimestriellement ?
  3. Définir les critères de succès : J’aime utiliser un système de couleur, la couleur verte représente un succès, jaune un niveau sous surveillance mais acceptable et rouge une situation qui demande correction rapidement. Par exemple, quel niveau de retard des mises à jour peut-on accepter ? Un retard d’un mois est-il tolérable ?
  4. Déterminer les moyens et outils utilisés pour obtenir les indicateurs : Quels outils seront mis en place pour collecter les informations nécessaires ?
  5. Prendre des mesures correctives si nécessaire : N’oubliez pas de documentez les mesures corrective si une situation atteins le niveau rouge et demande des actions.

Conseils

  • Impliquez les parties prenantes dans la définition des objectifs de performance et des KPIs.
  • Utilisez des outils de surveillance et de mesure adaptés aux besoins de l’organisation.
  • Communiquez les résultats de la surveillance et de l’évaluation aux parties prenantes.
  • Améliorez continuellement le processus de surveillance et d’évaluation.

Critères de Succès

Pour déterminer si vous avez bien répondu à la clause 9.1 de la norme ISO27001:2022, voici quelques questions qu’un auditeur pourrait poser :

  • Quels sont les objectifs de votre SGSI, et comment se connectent-ils aux objectifs globaux de l’organisation ?
  • Quels indicateurs de performance clés (KPI) utilisez-vous pour mesurer l’efficacité de votre SGSI ?
  • Comment surveillez-vous et mesurez-vous les incidents de sécurité de l’information ?
  • Décrivez un exemple récent où vous avez pris des actions correctives à la suite d’une analyse ?
  • Où est documenté les résultats des activités de surveillance?

En respectant les exigences de la clause 9.1, vous contribuerez non seulement à l’efficacité du SGSI mais aussi à l’amélioration continue de la sécurité de l’information au sein de l’organisation.

Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.

Patrick Boucher
Président fondateur
25+ ans d’expérience en sécurité, piratage éthique, continuité des affaires
Écrivez-nous

Formulaire Sticky Services

Envie de travailler avec nous ?

Parlez-nous de vos enjeux. On verra rapidement si on est la bonne équipe pour vous.
Discutons ensemble