Utiliser la roue de Deming dans la cadre d’une certification ISO 27001: phase Plan (1/4)

Qu’est-ce quel la roue de Deming (PDCA) ?

La roue de Deming (également appelée la méthode PDCA, pour Plan, Do, Check, Act) est une méthode particulièrement utilisée afin d’améliorer les performances d’une organisation, et ce peu importe le métier concerné : département marketing, ressources humaines, finances ou logistiques.

Il s’agit donc d’un outil d’amélioration continue, permettant de favoriser l’optimisation des pratiques et la résolution de problèmes, grâce à des cycles d’amélioration courts qui permettent de favoriser des pratiques agiles.

La roue de Deming repose ainsi sur quatre étapes complémentaires :

• Plan : Planifier des actions.

• Do : Mettre en oeuvre ces actions, lancer l’opérationnel.

• Check : Évaluer, suivre les résultats de ces actions.

• Act : Pour au besoin, les faire évoluer, les optimiser.
  

Chaque phase est plutôt courte, afin de permettre un travail itératif et une amélioration rapide et continue des pratiques d’une organisation.

L’approche globale de gestion de projet que propose la roue de Deming consiste finalement à planifier un ensemble de mesures afin de répondre à un besoin ciblé, à mettre en oeuvre ces actions, à en analyser les résultats rapidement pour au besoin, l’optimiser ou la corriger tout aussi rapidement.

Comment utiliser la roue de Deming dans le cadre d’une certification ISO 27001 ?

Ainsi, cet outil de gestion de projet peut être utilisé dans n’importe quel département d’une organisation: dans le département marketing, de Ressources Humaines, financiers et commerciaux, ainsi que pour les projets liés à la sécurité informatique.

En effet, cet outil d’amélioration continue est parfaitement adapté aux stratégies de gouvernance de la sécurité. Les stratégies en matière de sécurité des systèmes d’information nécessitent en effet un suivi régulier ainsi qu’une amélioration continue, pour conserver toute leur pertinence. C’est le cas par exemple, dans le cadre d’une certification ISO 27001.

En effet, la certification ISO/IEC 27001 a pour objectif la mise en place d’un système de management de la sécurité de l’information (SMSI) au sein de l’organisation certifiée.

La mise en place de ce SMSI est justement rendue possible par cette approche itérative favorisée par la roue de Deming !

• Plan : La construction de ce SMSI est imaginée, planifiée, préparée de manière à tenir compte et anticiper l’ensemble des risques relatifs à la sécurité de l’information.

• Do : Des contrôles opérationnels sont mis en oeuvre pour créer le SMSI et le rendre fonctionnel dans l’environnement de l’organisme.

• Check : Les contrôles mis en place sont régulièrement suivies, évaluées, mesurées de façon à être améliorés .

• Act : Les actions de corrections sont apportées rapidement de manière à atteindre les objectifs prévus.

C’est donc sur l’utilisation de cette méthodologie de gestion de projet (PDCA) appliquée à la norme ISO/IEC 27001 et à la création d’un SMSI, que nous allons nous concentrer durant ces prochains articles de blog.

Comment cette méthodologie, illustrée par la Roue de Deming, peut-elle être utilisée dans les entreprises afin de permettre la mise en place d’un SMSI ?

Comment se déroulent chacune de ces étapes ? Et quels sont les bénéfices apportés par cet outil en termes de sécurité de l’information et de management de la sécurité en entreprise ?

La roue de Deming : la phase Plan pour construire son SMSI

Au cours de cette première étape de planification, le personnel en charge de la gestion et du suivi du projet de certification ISO 27001 doit collecter les informations et moyens nécessaires à la faisabilité du SMSI, identifier les besoins de l’organisme et identifier les risques pour la sécurité.

C'est sur cette base que seront définis les processus et politiques de sécurité de l’organisation.

Lors de cette première étape de planification de son SMSI, l’organisation doit ainsi tenir compte des enjeux liés à l’organisation et à son contexte, ainsi que des exigences des diverses parties prenantes.

À cette étape là, l’organisation planifie donc :

• Les rôles et responsabilités des parties prenantes (décisionnaires, salariés impliqués, prestataires externes, etc.)

• Les moyens financiers, matériels et humains qui seront nécessaires et dont elle dispose ;

• Les actions à mettre en place pour traiter les risques et opportunités du projet ;

• La manière avec laquelle ces actions seront mises en oeuvre, et leur efficacité évaluée.

Cette première phase de planification consiste donc à organiser le déroulement du projet, à identifier les risques et les actions associées, ainsi qu’à définir des objectifs de la sécurité de l’information.

1- Apprécier les risques de la sécurité de l’information

Pour commencer, l’organisation doit définir et appliquer un processus d’appréciation des risques de sécurité de l’information.

Dit autrement, cela consiste finalement à :

• Identifier les risques de sécurité de l’information : risques liés à la perte de confidentialité, d’intégrité et de disponibilité des informations ;

• Identifier les propriétaires des risques (quels collaborateurs sont responsables du domaine associé à chaque risque et donc en charge de la gestion du risque) ;

• Établir les critères d’acceptation des risques (quels risques sont acceptables et lesquels ne le sont pas ?) ;

• Et enfin, analyser les conséquences potentielles de ces risques s’ils survenaient, et prioriser les risques analysés pour construire un plan de traitement des risques.

Cette étape d’appréciation des risques consiste donc à identifier précisément quels sont les risques potentiels de la sécurité de l’information, afin de comprendre en détail les conséquences et la dangerosité de ces risques.

2- Déterminer les actions de traitements des risques de sécurité de l’information

Une fois les risques identifiés et hiérarchisés par ordre de priorité, il s’agit ensuite de déterminer quelles actions seront mises en place pour remédier à ces risques (les éviter), et quelles actions seront mises en place si le risque était avéré (pour le corriger).

L’organisation est alors chargée de :

• Choisir les options de traitement des risques les plus adaptés à ses enjeux et moyens. Elles correspondent aux actions préventives nécessaires pour éviter que les risques identifiés ne surviennent ;

• Déterminer les contrôles nécessaires à la mise en oeuvre de ces options de traitement des risques ;

• Et établir un plan de traitement des risques de la sécurité de l’information.

Les mesures de traitement des risques retenues (ainsi que celles qui ne le sont pas) doivent être renseignées dans une déclaration d’applicabilité. Chaque mesure, qu’elle soit retenue ou non, doit faire l’objet d’une justification.

Toute cette démarche doit donc être documentée, conservée, et faire l’objet d’une validation par les propriétaires des risques,

3- Les objectifs de la sécurité de l’information ainsi que les plans pour les atteindre

L’organisation doit établir les objectifs de sécurité de l’information qui seront poursuivis à travers cette certification ISO/IEC 27001, et établir un plan d’action clair pour atteindre ces objectifs.

Pour être pertinents, les objectifs doivent répondre à un ensemble de critères tels que :

• Être en cohérence avec la politique de sécurité de l’information de l’organisation ;

• Être mesurables ;

• Tenir compte des exigences applicables à la sécurité de l’information et des résultats de l’appréciation et du traitement des risques ;

• Être communiqués avec les équipes ;

• Être mis à jour lorsque cela est nécessaire.

Là encore, l’organisation doit documenter et conserver toutes ces informations.

4- Les supports et ressources nécessaires pour atteindre les objectifs de sécurité de l’information

Pour finir, l’organisation doit identifier et fournir les ressources nécessaires à l’établissement, la mise en oeuvre, la tenue à jour et l’amélioration continue du système de management de la sécurité de l’information.

Trois éléments sont à prendre en compte ici : les compétences nécessaires, les actions de sensibilisation nécessaires, et les actions de communication nécessaires.

Les compétences nécessaires

Il s’agit de déterminer quelles sont les compétences dont doivent disposer les personnes effectuant un travail ayant une incidence sur les performances de la sécurité de l’information , si elles ont été suffisamment bien formées et si elles disposent d’une expérience appropriée. Si ce n’est pas le cas, il faut réfléchir aux actions à mettre en place pour permettre aux salariés d’acquérir les compétences nécessaires ainsi que pour évaluer l’efficacité des actions de formation entreprises.

Une fois encore, toutes ces informations doivent être documentées et conservées comme preuves.

Les actions de sensibilisation nécessaires

Les employés de l’organisation doivent être sensibilisés à la politique de sécurité de l’information mise en place.

• Ils doivent avoir conscience de leur contribution à l’efficacité du système de management de la sécurité de l’information (SMSI), mais également des effets positifs d’une amélioration des performances de la sécurité de l’information ;

• Et ils doivent être parfaitement conscients des implications de toute non-conformité aux exigences requises par le système de management de la sécurité de l’information (Par exemple via une charte informatique ou de sécurité).

Les actions de communication nécessaires

Pour finir, l’organisation doit déterminer les besoins en communication (interne et externe) pertinents pour le système de management de la sécurité de l’information (SMSI) et notamment :

• Sur quels sujets communiquer ?

• À quels moments communiquer ?

• Qui doit communiquer, et auprès de qui ?

• Ainsi que les processus avec lesquels la communication doit s’effectuer.

La création d’un SMSI : un processus qui se veut documenté

Le système de management de la sécurité de l’information (SMSI) doit être documenté par l’organisation afin de permettre une évaluation de son efficacité.

Les informations attendues dans cette documentation dépendent largement de la taille de l’organisation, de ses domaines d’activité, de ses processus, produits et services ainsi que des compétences des personnes.

Lorsqu’elle créé et met à jour cette documentation, l’organisation doit s’assurer que certains éléments sont appropriés, notamment :

• L’identification et la description des risques, des mesures et des intervenants ;

• Le format de cette documentation ainsi que son support.

Ces informations documentées exigées par le SMSI doivent être régulièrement contrôlées et tenues à jour afin de s’assurer :

• Qu’elles sont bien disponibles et qu’elles conviennent à l’utilisation qui en est faite ;

• Qu’elles sont correctement protégées (en termes de confidentialité, d’intégrité et de disponibilité).

Pour contrôler ces informations, l’organisation doit ainsi veiller à :

• La distribution, l’accès, la récupération et l’utilisation de ces informations ;

• Le stockage et la conservation de ces informations,

• Le contrôle des modifications de ces informations (par exemple, le contrôle des versions) ;

• Ainsi qu’à la durée de conservation et de suppression des informations.

Pour conclure

Pour conclure, la première étape de cette roue de Deming, ‘Plan’, lorsqu’elle est appliquée à la cybersécurité des entreprises, consiste ainsi principalement à identifier les besoins du projets, les risques potentiels, et à déterminer les actions de prévention et de correction de ces risques, à travers quatre grandes étapes :

• L’appréciation des risques de sécurité de l’information ;

• Le choix d’un processus de traitement des risques ;

• La définition d’objectifs de sécurité de l’information ;

• Ainsi que l’identification des ressources nécessaires à la mise en place du plan d’action.

Dans le prochain article de blog, nous verrons précisément comment s’approprier la deuxième étape de la roue de Deming, ‘Do’, dans le cadre de la création d’un SMSI.

Articles complémentaires :

• Utiliser la roue de Deming dans le cadre d’une certification ISO 27001 : phases Do et Check

• Certification ISO 27001 : exigences et processus de certification

• La norme ISO 27001 et le SMSI (Système de Management de la Sécurité de l'Information)

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Découvrez-en plus sur notre prestation d'accompagnement vers la certification ISO 27001

Nous avons besoin de vos réponses !

En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.

Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !

Merci pour vos réponses !

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !