Comment et pourquoi maintenir son système de management ?
La certification n’est pas une fin en soi. Il y a un après.
Vous êtes déjà certifié ISO 27001 après un projet complexe qui vous a pris du temps et de l’énergie. Vous vous dites que maintenant il n’y a plus grand-chose à faire. Ce n’est pas vrai !
Vous avez mis en place un système pour la certification, maintenant il faut le faire vivre.
Que vous soyez en cours de certification, certifié ou que vous ayez pour projet de vous faire certifier, avoir cette connaissance vous fera gagner du temps et rendra ce projet vraiment rentable et pertinent pour votre entreprise.
Faire vivre son SMSI, c’est mener des actions, faire des contrôles et s’adapter aux changements. L’organisation est la clé. Voici en détail en quoi consiste le maintien.
Vous allez avoir des audits internes, qui comprennent toutes les activités de suivi de l’audit de certification, et les contrôles des mesures de sécurité. Puis, des revues de direction à réaliser de manière annuelle ou trimestrielle.
Ensuite, vient la revue documentaire. Elle consiste à revoir un certain nombre de documents stratégiques, surtout ceux qui concernent la partie politique de la sécurité.
La sensibilisation des personnes est très importante et est quasiment obligatoire afin de maintenir les collaborateurs engagés dans la démarche de sécurité.
Rédiger son analyse des risques. C’est un document dynamique qui doit être revu au moins une fois par an. L’intérêt de faire cette revue est de compléter les mesures de sécurité en place, réévaluer les risques, mettre à jour le plan de traitement, ajouter de nouveaux risques identifiés et de nouvelles actions pour les traiter, et également regrouper ou supprimer les risques faibles pour l’organisme. L’idée ici est vraiment d’avoir une liste de risques gérable.
Nous recommandons d’ajouter les risques dès que vous les identifiez, et de ne pas attendre la revue annuelle pour le faire. L’analyse de risque doit être un outil utilisé dès qu’une décision sur la sécurité est prise. Cela va permettre de justifier le choix auprès de l’auditeur et de votre côté de mesurer les risques, définir les actions et les suivre dans le plan de traitement des risques.
Revoir la déclaration d’applicabilité. C’est un tableau de bord des mesures de sécurité mises en place. Il faut la mettre à jour au moins une fois par an, on recommande de le faire dès qu’une nouvelle mesure est en place ou dès qu’un nouveau risque est identifié. Ce document est très utile pour répondre aux questions de sécurité des clients, s’il est à jour, le travail de remplissage de questionnaire sera plus efficace.
Enfin, nous avons le suivi et la mise à jour des mesures de sécurité. Bien évidemment, il ne faut pas tout contrôler, juste ce qui est pertinent pour l’entreprise. Une société peut faire évoluer les contrôles tous les ans pour les simplifier ou les rendre plus pertinents pour le SMSI. Tout contrôle doit avoir un enregistrement ou une preuve.
Nous vous conseillons de faire une liste de contrôles à réaliser. Par exemple :
N’oubliez pas de planifier dans le temps les contrôles à faire, et de définir un responsable…
En résumé, il vous faut une bonne organisation !
Retrouvez notre vidéo dédiée ici :
Priorisez les constats. Par exemple, certaines entreprises ont tendance à vouloir tout faire dans la liste des constats donnée par l’auditeur, ou alors au contraire, à retarder au maximum la réalisation des actions correctives, suite à l’audit de certification.
Des difficultés d’appropriation. Là, de nombreuses entreprises ont plutôt du mal à impliquer les collaborateurs, et à faire comprendre vraiment l’importance de la sécurité.
Des outils trop complexes, qui peuvent poser problème. Par exemple, concernant ces outils, on peut avoir du mal simplement à mettre à jour quelque chose, du fait qu’il y ait trop de documentation liée au sujet. Le fait qu’il y ait beaucoup de choses en matière de sécurité ou de documentation liées complique la tâche.
Le manque d’anticipation, le fait de préparer la certification au dernier moment est aussi problématique pour l’organisation. Cela arrive particulièrement pour les entreprises dans lesquelles le système de management a été mis en place la première année, par exemple, mais que l’on n’a justement pas anticipé pour la suite.
Les difficultés à réaliser les audits. Vous pouvez vous retrouver avec des activités de contrôle pas forcément bien vécues, ou alors que les personnes n’ont simplement pas le temps de le faire. C’est pour cela qu’il faut viser des choses vraiment réalistes, et ne pas faire énormément de contrôles et d’audits, mais plutôt de les répartir sur votre cycle de certification.
Ne pas oublier de faire des mises à jour de l’analyse de risques assez fréquemment.
L’amélioration continue va faire vivre votre système et vous permettra d’optimiser vos choix.
Voici les principales étapes importantes à planifier.
Premièrement, le pilotage. Il s’agit d’organiser des points trimestriels afin de conserver un pilotage vraiment régulier. Aussi, il est important de simplifier votre SMSI, vos documents.
Ensuite, pour les écarts, il ne faut pas hésiter à les prioriser et mettre les autres de côté, ou bien les régler à minima pour l’auditeur dans certains cas.
Par la suite, pensez à simplifier votre système. Investissez dans un logiciel qui va non seulement simplifier vos démarches, mais surtout vous faire gagner énormément de temps ! On parle ici d’un gain de 50 à 80 % de temps !
Ces outils vont permettre d’aller plus vite sur la gestion de la sécurité, la sensibilisation et la formation, au lieu de passer trop de temps à réinventer les solutions et outils !
L’analyse des risques est un outil de pilotage, qui est au cœur de votre système.
C’est sur cette analyse des risques qu’on se base pour déterminer ce qu’on met dans le système, dans les documents ou mesures de sécurité.
Chaque fois que vous avez un changement, il faut vérifier par rapport à cette analyse de risques les nouveaux outils, changements de personnes, ou de fournisseurs.
En effet, il faut vérifier s’il y a des impacts, des risques à supprimer, des risques forts, ou faibles. S’ils sont faibles et paraissent dérisoires, regroupez-les ou enlevez-les.
Il faut bien comprendre que l’analyse de risques est votre outil de compréhension de votre sécurité. C’est votre outil de décision.
La déclaration d’applicabilité regroupe toutes les mesures de sécurité mises en place. Donc il ne s’agit pas de simplement recopier la norme, mais bien d’expliquer les mesures de sécurité concrètes que vous avez mises en place, et comment ces mesures sont liées aux risques.
La mettre à jour régulièrement va vous permettre d’avoir un suivi précis et de répondre plus vite aux questions des auditeurs ou des clients.
Prenez conscience que vous n’allez pas tout contrôler chaque année. Ciblez les mesures de sécurité à contrôler. Par exemple, si vous faites des revues de sécurité ou de droits, cela vous donne la possibilité de vérifier que la gestion des accès fonctionne bien.
Les indicateurs peuvent aussi être des moyens de contrôle.
En résumé, votre objectif est de bien cibler vos contrôles et vos audits.
La documentation est souvent un point critique. Il faut la simplifier, en faisant des documents vraiment utiles et applicables.
Par ailleurs, simplifier la réalisation de la gestion documentaire va dépendre de la façon dont vous avez construit la documentation.
Plus c’est simple et concret, plus cela décrira les mesures mises en place, et plus les mises à jour seront faciles.
Lors de la revue de direction, plusieurs thèmes doivent être abordés. On y trouve :
Lorsqu’on parle de revue, c’est à prendre comme une boucle de rattrapage dans l’année pour vérifier l’efficacité de votre système de management.
Bien sûr, ce n’est pas obligatoire de tout passer en revue, mais plutôt de les revoir régulièrement par priorité. Les incidents de sécurité pouvant être une grande source d’apprentissage.
L’automatisation est un bon moyen de progresser.
Nous avons une solution à découvrir sur notre site : Logiciel SMSI – Feel Agile
L’analyse des risques couvre l’ensemble de votre système de management de la norme, mais elle est surtout multi-référentielle. C’est un point vraiment important. Par exemple, si vous souhaitez mettre en place de nouvelles démarches, nouvelles certifications ou autres, celles-ci s’intègreront très facilement.
L’automatisation est la meilleure solution pour votre PME en matière de suivi de cybersécurité, puisqu’elle va automatiser votre gestion et votre management de la sécurité.
Cette solution de gestion du SMSI va vraiment vous aider à mettre en place votre système. En définissant dans un premier temps vos politiques, vos objectifs de sécurité, le contexte et les enjeux, pour ensuite formaliser les mesures de sécurité, suivre les actions de sensibilisation, et enfin avoir le plan d’audit, de contrôle et de revue. Enfin, vous aurez la possibilité d’engager des actions d’amélioration.
C’est vraiment une direction qui couvre l’ensemble de la norme et l’ensemble de la mise en place du SMSI.
Nous vous recommandons d’utiliser les solutions de phishing, de micro-learning et de sensibilisation.
Ensuite, nous avons également une solution d’e-learning que nous avons mise au point pour l’ISO 27001.
Et enfin, nous avons la solution Cyber War Game, un jeu de société qui permet d’animer des séances de sensibilisation sur la sécurité.
Utiliser ces outils d’automatisation pour votre système facilitera grandement votre démarche de maintien !