logo_FEDER español
gss-logo-header
FR
ESENPT
DémoDemander une démo
Sécurité

ISO 27001 PDCA Management Cycle

Aitziber Ardanza
🕑 7 minutes read

Table of contents

En raison du besoin croissant de mettre en œuvre des mesures de cybersécurité efficaces dans les organisations à la suite de nombreuses attaques de sécurité existantes, l’introduction de normes ISO dans les entreprises est une réalité. Les normes ISO sont des normes élaborées et publiées par l’Organisation internationale de normalisation (ISO). L’objectif principal de ce type de réglementation est de régulariser des processus spécifiques dans des domaines tels que la sécurité de l’information.

Parmi ces normes ISO, la famille dite ISO 27000 est l’une des plus importantes. Il s’agit d’une série de normes qui détaillent les directives et les exigences pour la mise en œuvre d’un système de management de la sécurité de l’information (SMSI).

Au sein de cette famille, la principale et certifiable est la norme ISO 27001. Cette norme précise les exigences relatives à l’établissement, à la mise en œuvre, à la maintenance et à l’amélioration continue d’un SMSI.

Le cycle de Deming ou PDCA dans la norme ISO 27001

En ce qui concerne le contenu du règlement lui-même, la première partie de celui-ci est composée de sections liées au sujet traité dans cet article. C’est-à-dire avec le cycle de Deming bien connu ou PDCA. Ces articles sont les suivants :

  • Contexte de l’organisation
  • Leadership
  • Planification
  • Soutien
  • Opération
  • Évaluation du rendement
  • Amélioration

Le cycle PDCA tire ce nom de l’acronyme : Planifier-Faire-Vérifier-Agir. Sa méthodologie est basée sur l’amélioration continue, puisqu’un processus ne peut jamais être mis en œuvre avec 100 % d’efficacité et de précision. Les mots qui donnent son nom à ce cycle comprennent les 4 phases qui s’y distinguent.

Plan (Plan)

L’objectif principal de cette phase est de mettre en place le système de gestion de la sécurité de l’information. Plus précisément, les objectifs, les procédures et les politiques liés à la sécurité de l’information seront établis à cette étape, et dans le but d’améliorer cette dernière.

De même, des aspects tels que la portée du système de gestion, les rôles et leurs fonctions et responsabilités dans le projet doivent également être définis.

Il y a 4 sections de la norme ISO 27001 qui font partie de cette première phase de planification :

  • Contexte de l’organisation
  • Leadership
  • Planification
  • Soutien

La section contextuelle sert à définir les premiers aspects du système de gestion tels que le contexte lui-même, couvrant tout ce qui entoure et affecte l’organisation, les parties prenantes et la portée du système de gestion qui sera mis en œuvre.

En ce qui concerne le point de leadership, cette section est liée au leadership et à l’engagement de la haute direction dans le processus de mise en œuvre et de maintenance du système de gestion. À cette fin, une politique de sécurité est définie, qui doit être connue et appliquée par tous les acteurs, ainsi que par leurs rôles et responsabilités.

La planification, qui est le nom de la section suivante de la norme, consiste principalement à définir les objectifs de sécurité de l’information que l’organisation va établir. Ces objectifs doivent être cohérents avec la politique de sécurité élaborée, mesurables, communiqués et mis à jour, comme l’indique la norme elle-même.

Enfin, tout ce qui touche à l’accompagnement est également pris en compte dans cette phase. Ici, on distingue différentes tâches ou points à prendre en compte. D’une part, il y a la détermination des ressources qui seront indispensables à la mise en œuvre du système de gestion, et l’engagement dans le devoir de veiller à leur disponibilité. D’autre part, il cherche à assurer la compétence et la sensibilisation, en menant différentes actions de formation à la sécurité. De même, des procédures doivent être prises en compte pour une communication correcte dans l’entreprise. Pour conclure cette section, l’organisation devrait considérer la gestion de la documentation du système.

Faire

Le SMSI établi sera mis en œuvre à ce moment-là. Les procédures établies lors de la phase précédente seront mises en œuvre et les contrôles et opérations nécessaires seront mis en œuvre afin de gérer l’information de l’organisation de manière sûre et efficace.

Quant à la correspondance de cette phase du cycle avec la norme ISO 27001, c’est la section 8 dite Fonctionnement qui aborde ce point. À cette fin, comme mentionné ci-dessus, le système de gestion défini sera lancé et mis en œuvre.

Les points forts de cette section sont l’inventaire du patrimoine informationnel de l’entreprise, l’analyse des risques pour comprendre l’état de l’entreprise, et la gestion des risques effectuée à travers les différents Plans de Traitement des Risques.

Vérifier

Au cours de cette phase, qui correspond à la lettre « C » du cycle PDCA, l’efficacité du système de gestion de la sécurité de l’information planifié et mis en œuvre dans les phases précédentes sera évaluée et révisée. Pour ce faire, il sera vérifié que des aspects tels que la politique de sécurité, les objectifs ou les différentes procédures mises en œuvre sont respectés.

Il convient de noter que ces évaluations et examens devraient être effectués périodiquement afin de garantir la bonne mise en œuvre et le bon fonctionnement des procédures et des actions menées pour établir et mettre en œuvre le SMSI.

On pourrait dire que cette phase du cycle de Deming est l’équivalent de la section 9 de la norme ISO 27001, la section appelée Évaluation de la performance. À ce stade de la norme, il sera déterminé ce qui doit être surveillé et mesuré, ainsi que les méthodes nécessaires pour garantir des résultats valides. Pour le suivi, la mesure, l’analyse et l’évaluation du SMSI, l’organisation doit s’appuyer sur des données suffisamment matures pour obtenir des valeurs adéquates pour servir de référence.

À cette fin, des mesures et des indicateurs seront établis pour mesurer l’efficacité du SMSI. De plus, des procédures seront également créées pour réaliser l’audit interne et l’examen par la direction qui seront effectués avant de procéder à l’audit de certification externe.

Acte

Dans cette dernière phase du cycle, le SMSI sera maintenu et amélioré. C’est-à-dire que des actions et des plans correctifs et préventifs seront mis en œuvre pour améliorer les résultats obtenus et ainsi mettre en œuvre et réaliser une amélioration continue du système de gestion de la sécurité de l’information.

Cette dernière phase correspond au point 10 appelé Amélioration de la norme traitée dans cet article. À son tour, cette section est divisée en deux parties. D’une part, à ce stade, la gestion des non-conformités détectées dans le système est effectuée, à la fois par le biais d’audits internes/externes et par l’intermédiaire des employés de l’entreprise qui, dans l’exercice de leurs fonctions, détectent d’éventuelles défaillances ou non-conformités.

D’autre part, un processus d’amélioration continue doit être mené. En d’autres termes, il s’agit d’un processus de maintenance continue du SMSI, dans lequel l’efficacité et l’efficience du SMSI mis en œuvre par l’organisation seront améliorées.

Chez GlobalSuite Solutions , nous disposons d’un domaine de conseil qui peut vous aider à mettre en œuvre un SMSI basé sur la norme ISO 27001, avec une vaste expérience dans ce type de projet depuis plus de 10 ans dans des entreprises de tous types de secteurs et d’entreprises.

Nous disposons du logiciel GlobalSuite® qui facilite l’automatisation et la gestion de la norme ISO 27001 pour optimiser votre SMSI. La polyvalence du logiciel lui permet de répondre aux exigences les plus complexes de manière abordable et intuitive, ce qui permet d’obtenir la certification ISO 27001 et donc d’améliorer la cybersécurité de l’entreprise.

Share:

Aitziber Ardanza
. Consultora Departamento de Consultoría de GlobalSuite Solutions Ingeniera de telecomunicaciones por la UPV/EHU con máster en Ciberseguridad por la Universidad Politécnica de Madrid.

More articles