La certification n’est pas une fin en soi. Il y a un après.
Comment et pourquoi maintenir son système de management ?
Vous êtes déjà certifié ISO 27001 après un projet complexe qui vous a pris du temps et de l’énergie. Vous vous dîtes que maintenant il n’y a plus grand chose à faire. Ce n’est pas vrai !
Vous avez mis en place un système pour la certification, maintenant il faut le faire vivre.
Que vous soyez en cours de certification, certifié ou que vous avez pour projet de vous faire certifier, avoir cette connaissance vous fera gagner du temps et rendra ce projet vraiment rentable et pertinent pour votre entreprise.
En quoi consiste le maintien du SMSI ?
Faire vivre son SMSI c’est mener des actions, faire des contrôles et s’adapter aux changements. L’organisation est la clé. Voici en détail en quoi consiste le maintien.
Vous allez avoir des audits interne, qui comprennent toutes les activités de suivi de l’audit de certification, et les contrôles des mesures de sécurité. Puis, des revues de direction à réaliser de manière annuelles ou trimestrielles.
Ensuite, vient la revue documentaire. Elle consiste à revoir un certain nombre de document stratégique, surtout ceux qui concerne la partie politique de la sécurité.
La sensibilisation des personnes est très importante et est quasiment obligatoire afin de maintenir les collaborateurs engagés dans la démarche de sécurité.
Rédiger son analyse des risques. C’est un document dynamique qui doit être revu au moins une fois par an. L’intérêt de faire cette revue est de compléter les mesures de sécurité en place, ré-évaluer les risques, mettre à jour le plan de traitement, ajouter des nouveaux risques identifiés et des nouvelles actions pour les traiter, et également regrouper ou supprimer des risques faibles pour l’organisme. L’idée ici est vraiment d’avoir une liste de risques gérable.
Nous recommandons d’ajouter les risques dès que vous les identifiez, et pas attendre la revue annuelle pour le faire. L’analyse de risque doit être un outil utilisé dès qu’une décision sur la sécurité est prise. Cela va permettre de justifier le choix auprès de l’auditeur et de votre côté de mesurer les risques, définir les actions et les suivre dans le plan de traitement des risques.
Revoir la déclaration d’applicabilité. C’est un tableau de bord des mesures de sécurité mise en place. Il faut la mettre à jour au moins une fois par an, on recommande de le faire dès qu’une nouvelle mesure est en place ou dès qu’un nouveau risque est identifié. Ce document est très utile pour répondre aux questions de sécurité des clients, s’il est à jour le travail de remplissage de questionnaire sera plus efficace.
Enfin, nous avons le suivi et la mise à jour des mesures de sécurité. Bien évidemment, il ne faut pas tout contrôler, juste ce qui est pertinent pour l’entreprise. Une société peut faire évoluer les contrôles tous les ans pour les simplifier ou les rendre plus pertinentes pour le SMSI. Tout contrôle doit avoir un enregistrement ou une preuve.
Nous vous conseillons de faire une liste de contrôle à réaliser. Par exemple :
- Les tests de restauration de sauvegardes réalisés,
- La revue de droits d’accès au SI critiques réalisée,
- Les collaborateurs ont suivi le plan de formation / sensibilisation
- Les documents de sécurité sont à jour et en place : politiques, chartes, procédure.
N’oubliez pas de planifier dans le temps les contrôles à faire, et définir un responsable…
En résumé il vous faut une bonne organisation !
Retrouvez notre vidéo dédiée ici :
Quelles sont les difficultés rencontrées dans le maintien ?
Priorisez les constats. Par exemple, certaines entreprises ont tendances à vouloir tous faire dans la liste des constats donnée par l’auditeur, ou alors au contraire, retarder au maximum la réalisation des actions correctives, suite à l’audit de certification.
Des difficultés d’appropriation. Là, de nombreuses entreprises ont plutôt du mal à impliquer les collaborateurs, et à faire comprendre vraiment l’importance de la sécurité.
Des outils trop complexes, qui peuvent nous poser problème. Par exemple concernant ces outils, on peut avoir du mal simplement à mettre à jour quelque chose, du fait qu’il y est trop de documentation liée au sujet. Le fait qu’il y est beaucoup de chose en matière de sécurité ou de documentation liés, complique la tâche.
Le manque d’anticipation, le fait de préparer la certification au dernier moment est aussi problématique pour l’organisation. Cela arrive particulièrement pour les entreprises dans lesquelles le système de management a été mis en place la première année par exemple, mais que l’on n’a justement pas anticiper pour la suite.
Les difficultés à réaliser les audits. Vous pouvez vous retrouver avec des activités de contrôle pas forcément bien vécu, ou alors que les personnes n’ont simplement pas le temps de le faire, et c’est pour cela qu’il faut viser des choses vraiment réalistes, et de pas faire énormément de contrôle et d’audit mais plutôt de le repartir sur votre cycle de certification.
Ne pas oublier de faire des mises à jour de l’analyse de risque assez fréquement.
L’amélioration continue va faire vivre votre système, et vous permettra d’optimiser vos choix.
Comment bien organiser le maintien du SMSI ?
Voici les principales étapes importantes à planifier.
Premièrement, le pilotage. Il s’agit d’organiser des points trimestriels afin de conserver un pilotage vraiment régulier. Aussi, il est important de simplifier votre SMSI, vos documents.
Ensuite, pour les écarts, il ne faut pas hésiter à les prioriser et mettre les autres de côté, ou bien les régler à minima pour l’auditeur dans certain cas.
Par la suite, pensez à simplifier votre système. Investissez dans un logiciel qui va non seulement simplifier vos démarches, mais surtout vous faire gagner énormément de temps ! on parle ici d’un gain de 50 à 80% de temps !
Ces outils vont permettre d’aller plus vite sur la gestion de la sécurité, la sensibilisation et la formation, au lieu de passer trop de temps à réinventer les solutions et outils !
Jetez un petit coup d’œil sur notre site, le lien juste ici : Logiciel SMSI – Feel Agile
Bien utiliser son analyse de risque :
L’analyse des risques est un outil de pilotage, qui est au cœur de votre système.
C’est sur cette analyse des risques qu’on se base pour déterminer ce qu’on met dans le système, dans les documents ou mesures de sécurité.
Chaque fois que vous avez un changement, il faut vérifier par rapport à cette analyse de risque les nouveaux outils, changements de personnes, ou de fournisseurs.
En effet, il faut vérifier s’il y a des impacts, des risques à supprimer, des risques forts, ou faibles. S’ils sont faibles et paraissent dérisoires, regroupez-les ou enlevez-les.
Il faut bien comprendre que l’analyse de risque est votre outil de compréhension de votre sécurité. C’est votre outil de décision.
Comment faire vivre la DDA :
La déclaration d’applicabilité regroupe toutes les mesures de sécurités mise en place. Donc il ne s’agit pas de simplement recopier la norme, mais bien expliquer les mesures de sécurités concrète que vous avez mises en place, et comment ces mesures sont liées au risque.
La mettre à jour régulièrement va vous permettre d’avoir un suivi précis et de répondre plus vite aux questions des auditeurs, ou des clients.
Comment s’organiser pour contrôler le maintien de votre système :
Prenez conscience que vous n’allez pas tout contrôler chaque année. Ciblez les mesures de sécurité à contrôler. Par exemple si vous faites des revues de sécurité ou de droits, cela vous donne la possibilité de vérifier que la gestion des accès fonctionne bien.
Les indicateurs peuvent aussi être des moyens de contrôle.
En résumé votre objectif est de bien cibler vos contrôles et vos audits.
Gestion documentaire
La documentation est souvent un point critique. Il faut la simplifier, en faisant des documents vraiment utiles et applicables.
Par ailleurs simplifier la réalisation de la gestion documentaire va dépendre de la façon dont vous avez construit la documentation.
Plus c’est simple et concret, plus cela décrira les mesures mises en place, et plus les mises à jour seront faciles.
En quoi consiste la revue de direction :
Lors de la revue de direction plusieurs thèmes doivent être abordés. On y trouve :
- L’avancement des actions
- Les changements impactant la sécurité
- Les incidents de sécurité
- Les non-conformités et audits
- Les indicateur et objectifs
- Les risques et actions
- Les opportunités
Lorsqu’on parle de revue, c’est à prendre comme une boucle de rattrapage dans l’année pour vérifier l’efficacité de votre système de management.
Bien sûr ce n’est pas obligatoire de tout passer en revue, mais plutôt de les revoir régulièrement par priorité. Les incidents de sécurité pouvant être une grande source d’apprentissage.
Automatiser votre système
L’automatisation est un bon moyen de progresser.
Nous avons une solution à découvrir sur notre site : Logiciel SMSI – Feel Agile
L’analyse des risques couvre l’ensemble de votre système de management de la norme, mais elle est surtout multi référentiel. C’est un point vraiment important. Par exemple, si vous souhaitez mettre en place de nouvelles démarches, nouvelles certifications ou autres, celles-ci s’intègreront très facilement.
L’automatisation est la meilleure solution pour votre PME en matière de suivi de cybersécurité, puisqu’elle va automatiser votre gestion et votre management de la sécurité
Cette solution de gestion du SMSI va vraiment vous aider à mettre en place votre système. En définissant dans un premier temps vos politiques, vos objectifs de sécurité, le contexte et les enjeux, pour ensuite formaliser les mesures de sécurité, suivre les actions de sensibilisation, et enfin avoir le plan d’audit, de contrôle et de revue. Enfin, vous aurez la possibilité d’engager des actions d’amélioration.
C’est vraiment une direction qui couvre l’ensemble de la norme et l’ensemble de la mise en place du SMSI.
Solutions d’automatisation
Nous vous recommandons d’utiliser les solutions de phishing, de micro-learning et de sensibilisation.
Ensuite, nous avons également une solution d’e-learning que nous avons mis au point pour l’ISO 27001.
Et enfin nous avons la solution Cyber War Game, un jeu de société qui permet d’animer des séances de sensibilisation sur la sécurité.
Utiliser ces outils d’automatisation pour votre système facilitera grandement votre démarche de maintien !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
