Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Management de la sécurité de l'information et ISO 27001
  3. La planification et le run
Extrait - Management de la sécurité de l'information et ISO 27001 Principes et mise en oeuvre de la gouvernance
Extraits du livre
Management de la sécurité de l'information et ISO 27001 Principes et mise en oeuvre de la gouvernance
3 avis
Revenir à la page d'achat du livre

La planification et le run

Introduction

Le cœur d’un système de gouvernance est certainement le plan d’action, qui en constitue le poste de conduite. La norme énonce cette obligation : l’organisation doit planifier les actions menées pour traiter les risques et opportunités. Elle doit définir la manière d’intégrer et de mettre en œuvre les actions au sein des processus du système de management de la sécurité de l’information et d’évaluer l’efficacité de ces actions.

La norme s’étend longuement sur la gestion des risques et développe la notion de plan de traitement des risques. De sorte que certains en viennent à négliger les autres actions, et notamment les opportunités qui sont pourtant mentionnées explicitement dans le texte. Cette notion de plan d’action nécessite donc quelques développements.

Pourquoi faire un plan d’action ?

La norme s’exprime sur deux composantes à adresser, le traitement des risques et celui des opportunités. Outre le fait rappelé ci-dessus que les opportunités sont assez souvent négligées, il est bon d’étendre quelque peu la notion de plan d’action afin d’adresser exhaustivement l’ensemble des éléments à traiter. 

Un exemple sera sans doute parlant. Prenons le cas d’un navigateur partant pour une traversée transatlantique. Il analyse les risques inhérents au périple, arme son bateau en conséquence, décide de la route à adopter et des escales. Il se met en conformité avec la réglementation...

Objectifs et causalités des actions

1. Actions de gouvernance

L’objectif est clair, diaphane, il s’agit là de planifier, de mettre en œuvre le système de gouvernance et d’en contrôler l’efficacité.

Quelles sont les causes des actions ?

La planification est en premier chef des actions nécessaires pour mettre en place les clauses 4 à 10 de la norme. Les exigences sont listées par la norme et ont été déclinées dans la politique de gouvernance, il convient donc de définir les actions propres à leur mise en œuvre effective. Il y a là des actions finies dans le temps telles que la définition de la comitologie, la spécification du programme et du plan d’audit, ainsi qu’un certain nombre d’actions récurrentes : ordre du jour et compte-rendu des comités de pilotage, définition, évolution et renseignement des indicateurs. On va y trouver également des actions relatives à l’amélioration continue de la gouvernance, suite à l’analyse des indicateurs ou à proposition des acteurs : désignation d’un nouveau membre du comité, modification des fréquences de réunion ou évolution du programme d’audit.

2. Actions de mise en conformité réglementaire et contractuelle

La norme fait obligation de respecter le cadre réglementaire et contractuel qui s’applique : si par exemple l’organisation traite de données personnelles dans le domaine d’application, il convient de respecter le RGPD. Si l’organisation s’est engagée...

Formalisation des actions

Petit retour à la norme : lorsqu’elle planifie la façon d’atteindre ses objectifs de sécurité de l’information, l’organisation doit déterminer ce qui sera fait, les ressources nécessaires, le responsable, les échéances et la façon dont les résultats sont évalués. Il est également demandé que les objectifs soient mesurables (si possible).

La formalisation des actions se doit de prendre en compte ces exigences.

Le plan d’action est riche d’une quantité d’éléments. Il est vivant : certaines actions sont closes, d’autres sont en cours ou en devenir. Certaines actions ont un caractère récurrent, d’autres encore vont venir s’ajouter au plan, au titre de l’amélioration continue par exemple. La notion de calendrier est donc essentielle.

Autre facteur prépondérant, ces actions incombent à différents acteurs dans l’organisation. La direction informatique au premier chef, puisque bon nombre d’actions intéressent la sécurité logique, les pratiques de développement, d’administration, d’exploitation… Mais également la direction logistique pour les éléments de sécurité physique, le responsable de la gouvernance, le responsable de la sécurité, les ressources humaines, le juridique, les achats, etc. La définition d’un propriétaire de l’action est donc primordiale.

Une composante importante également est la notion de contrôle et de suivi des actions, exigée...

Un énoncé clair et précis de l’action attendue

Il convient de définir les points suivants :

  • Un propriétaire, maîtrise d’œuvre de l’action énoncée. Cette notion est bien entendu fondamentale. La norme insiste sur la notion de propriétaire de risques, notion assez abstraite, alors que l’accent doit être mis sur le propriétaire (responsable) d’actions. Il nous a été donné de travailler dans un contexte très sécurisé sur des documents de haute teneur confidentielle. Nous ne pouvions pas porter la responsabilité du risque « vol de documents attribués » car nous partagions des armoires fortes avec d’autres salariés. Nous pouvions uniquement porter la responsabilité de l’action consistant à ranger les documents dans l’armoire forte. Les actions doivent donc être affectées à leurs propriétaires, connues et acceptées. Comme dans la définition des règles, plus encore car on est plus proche de l’opérationnel, le propriétaire d’actions doit disposer des moyens nécessaires pour être en mesure de s’engager et mener l’action à bien. Il convient donc de savoir associer à la définition de l’action les ressources nécessaires.

  • Un calendrier avec des dates de début, de fin, et des dates intermédiaires relatives aux étapes de validation de l’avancement des actions. La définition de ce calendrier est chose souvent ardue : il convient en effet de définir un planning respectant...

Structuration du plan d’action

Le plan d’action comporte donc un certain nombre d’actions, définies selon la logique proposée à la section précédente. Ce qui n’est pas forcément très aisément exploitable sans une certaine forme de structuration. Il est sage, même si cela n’est pas formellement requis, de regrouper ces actions selon leur nature. Il est d’usage de procéder à ce regroupement en chantiers, regroupant par exemple, selon le référentiel cible (27001/27002 dans cet exemple) :

  • Gouvernance

  • Politiques

  • Organisation

  • Ressources humaines

  • Gestion des actifs

  • Contrôle d’accès

  • Cryptographie

  • Sécurité physique et environnementale

  • Exploitation

  • Communication

  • Acquisition, développement, maintenance

  • Relation avec les fournisseurs

  • Gestion des incidents

  • Continuité d’activité

  • Conformité

Toute autre structuration plus adaptée au domaine d’application ou à l’organisation est envisageable, l’essentiel étant de passer d’une vision d’actions à plat à une vision structurée. Ce qui permet là encore d’introduire une notion d’avancement et de contrôle au niveau des différents chantiers identifiés.

Voici un exemple de modèle de structuration des actions par chantier :

images/Chapitre7-4-5.png

Actions par chantier

Voici un exemple de modèle de pilotage des chantiers :

images/Chapitre7-4-6.png

Pilotage chantier

Pilotage du plan d’action

Le pilotage du plan d’action est du ressort du responsable de la gouvernance. Le suivi en incombe au comité opérationnel (niveau de granularité des actions) et au comité stratégique (suivi de la gouvernance et des chantiers, résolution des points durs non accessibles au comité opérationnel).

Le responsable de la gouvernance a donc comme mission de se coordonner avec les différentes maîtrises d’œuvre en charge d’actions, afin d’en apprécier l’avancement, d’identifier les difficultés, d’apprécier les risques projets remontés par la maîtrise d’œuvre et de renseigner l’avancement des actions.

Il consolide l’avancement des actions pour le reporting en comité de pilotage opérationnel et traite des points forts et des axes de progrès avec les maîtrises d’œuvre réunies dans ce comité opérationnel.

Il extrait les tableaux de bord nécessaires au comité stratégique, rend compte des actions de gouvernance et de l’avancement du plan d’action et traite des points durs qui échappent à la compétence du comité organisationnel.

Mise en œuvre, exploitation et amélioration du système de gouvernance

Le run du système de gouvernance consiste alors à dérouler le plan d’action conformément au calendrier.

Pour les actions de gouvernance, essentiellement à la charge du responsable de gouvernance, il s’agit :

  • de définir puis réviser régulièrement les enjeux internes et externes ;

  • de spécifier et revoir les exigences des parties intéressées ;

  • de déterminer puis réviser si nécessaire le domaine d’application ;

  • de définir les objectifs stratégiques, les objectifs de sécurité, d’en mesurer l’atteinte et de les faire évoluer en fonction du contexte ;

  • de définir, réviser, appliquer la politique de gouvernance ;

  • d’attribuer et réviser les rôles et responsabilités autant que de besoin ;

  • d’apprécier les risques, de réviser cette appréciation et de faire évoluer le plan d’action en fonction des évolutions du plan de traitement des risques ; de faire évoluer conjointement la déclaration d’applicabilité ;

  • de planifier les actions nécessaires de gouvernance, d’en assurer le suivi, le contrôle et de faire vivre la planification pour y intégrer en particulier les opportunités d’amélioration ;

  • de gérer les compétences et les actions de sensibilisation et de formation nécessaires et d’en mesurer l’efficacité ;

  • de mettre en place et faire vivre une communication interne...

Rappel des points clés

Le plan d’action constitue la clé de voûte du système de gouvernance. Il recense les actions à effectuer en termes de gouvernance, de traitement des risques, de mise en conformité réglementaire et contractuelle, les modalités de contrôle et de suivi et les actions liées à l’amélioration continue.

La formalisation des actions se doit d’être rigoureuse. Chaque action est dévolue à un responsable (propriétaire) et présente un calendrier de mise en œuvre. Des points de contrôle lui sont également associés, qui permettent d’en mesurer l’avancement.

Les actions sont autant que possible liées à une causalité - risque, objectif, exigence réglementaire ou contractuelle - de manière à mesurer l’atteinte de ces composantes au travers de l’avancement des actions qui lui sont rattachées.

Cas pratique

L’exemple proposé dans ce cas pratique, extrait du logiciel APOS by Fidens, retrace les différentes étapes du pilotage.

La première figure illustre la définition des objectifs de sécurité, avec son énoncé, la date cible d’atteinte de la conformité ainsi que les niveaux intermédiaires envisagés.

images/Chapitre7-C-6.png

Objectifs de sécurité

Le tableau suivant illustre la mesure de l’atteinte des objectifs de sécurité, sur la base des risques traités et des actions effectuées.

images/Chapitre7-C-7.png

Objectifs de sécurité

Afin d’atteindre ces objectifs, on a en particulier procédé à une analyse de risques, recensé les risques allant à l’encontre des objectifs de sécurité retenus et mis en place des actions de réduction des risques conformément à la stratégie retenue. Ici, le risque lié au risque inhérent aux pratiques de développement non sécurisées est adressé au travers de deux mesures, formation et sensibilisation. À chaque mesure est affecté un coefficient de réduction.

images/Chapitre7-C-8a.png

Traitement du risque

Les risques donnent lieu à formalisation d’un plan de traitement de risques, conformément aux exigences de la norme :

images/Chapitre7-C-8b.png

Plan de traitement

images/Chapitre7-C-9.png

Scénarios

Le plan de traitement de risques alimente le plan d’action, structuré en chantier regroupant les actions adressant un même thème.

images/Chapitre7-C-10.png

Création chantier

Constitution des chantiers - Vue graphique

images/Chapitre7-C-11.png

Synthèse chantier

images/Chapitre7-C-12.png

Modification action