Utiliser la roue de Deming dans le cadre d’une certification ISO 27001 : phases Do et Check

Comme nous explicité dans notre récent article de blog sur le sujet, la roue de Deming (aussi appelée méthode PDCA pour Plan, Do, Check et Act) est une méthodologie d’amélioration des performances reposant sur 4 étapes complémentaires : 

• La phase Plan, qui consiste à planifier des actions (phase dont nous avons déjà parlé dans un précédent article).

• La phase Do, qui consiste à mettre en oeuvre ces actions.

• La phase Check, qui consiste à évaluer les résultats des actions.

• Et enfin la phase Act, qui consiste à faire évoluer, à optimiser les actions.

Pour plus de détail sur la roue de Deming ainsi que sur l’utilisation de cet outil dans le cadre de la planification d’une certification ISO 27001, n’hésitez pas à consulter notre précédent article de blog.

Une fois tous les éléments de planification de son SMSI correctement étudiés et réfléchis, il s’agit de mettre en oeuvre le plan d’action préalablement établi. Néanmoins, dans une démarche d’amélioration continue, la mise en place n’est pas suffisante. Il est nécessaire de s’assurer du suivi et de l’évaluation de leur mise en oeuvre et enfin, d’optimiser et d’améliorer les éléments qui doivent l’être.

Ainsi, dans ce nouvel article de blog, nous allons aborder en détail les deux phases suivantes de la roue de Deming, appliquées à la construction de son SMSI et dans le cadre d’une certification ISO 27001 : les phases Do et Check.

La roue de Deming : la phase Do pour construire son SMSI

La phase Plan a permit de planifier les actions à mettre en oeuvre, de déterminer les ressources nécessaires ainsi que d’identifier les actions de traitement des risques pertinents. Désormais, la phase Do consiste à mettre en oeuvre et à implémenter chacune des actions définies précédemment.

Au cours de la phase DO il est nécessaire de procéder à : 

•  L’implémentation des contrôles opérationnels initialement prévus ;

• L’application du plan de traitement des risques de la sécurité de l’information ;

• L’appréciation de nouveaux risques pouvant émerger ou induits de l’implémentation des contrôles ;

• La documentation de l’ensemble du processus de mise en oeuvre 

La mise en oeuvre des contrôles opérationnels

L’organisation doit ainsi mettre en oeuvre et contrôler le processus nécessaire à l‘atteinte des objectifs liés à la sécurité de l’information, et à la réalisation des actions déterminées lors de l’étape précédente, la phase Plan.

Chacun des plans imaginés pour atteindre les objectifs de sécurité définis sont ainsi mis en oeuvre.

De plus, cette dernière doit également contrôler les modifications prévues, analyser les conséquences des modifications imprévues, et au besoin, mener des actions pour limiter tout effet négatif.

Traitement des risques de la sécurité de l’information

Enfin, l’organisation doit mettre en oeuvre le plan de traitement des risques de la sécurité de l’information, tout en conservant, une fois encore, tous les éléments d’informations documentés sur les résultats des processus d’appréciation des risques de la sécurité de l’information.

Appréciation des risques de la sécurité de l’information 

L’organisation doit également réaliser des appréciations des risques de la sécurité de l’information à des intervalles établis (ou lorsque des changements significatifs sont prévus ou ont lieu), en tenant compte des critères de risque et des exigences établis, une fois encore, lors de l’étape de planification. 

Suivi et documentation du processus de mise en oeuvre

Afin de s’assurer que les processus ont été correctement suivis tel que cela été prévu et d’assurer le suivi de l’implémentation du SMSI, il est nécessaire de documenter et conserver toutes les informations de mise en oeuvre des actions.

La phase Check pour évaluer la réussite de cette mise en oeuvre

Désormais les actions de construction du SMSI en place, l’étape suivante consiste à analyser et à évaluer la réussite de ces mises en oeuvre. Il s’agit alors de mesurer l’atteinte des objectifs en termes de sécurité de l’information, et d’évaluer les éventuelles corrections nécessaires.

Pour cela, la troisième étape de la roue de Deming, Check, appliquée à la construction d'un SMSI dans le cadre d’une certification ISO 27001 nécessite trois étapes d’importance égale :

• L’étape de surveillance, de mesure, d’analyse et d’évaluation des actions mises en oeuvre.

• L’étape d’audit interne.

• Et finalement l’étape de la revue de Direction.

Surveillance, mesure, évaluation et analyse des actions mises en oeuvre

L’organisation doit ainsi évaluer les performances de sécurité de l’information, ainsi que l’efficacité du système de management de la sécurité de l’information. Cette dernière doit ainsi déterminer : 

• Les processus qui doivent être soumis à une surveillance continue et pour lesquels une nouvelle appréciation des risques est requise  

• Les méthodes de surveillance, d’analyse, de mesure et d’évaluation utilisées.

• La fréquence des actions de surveillance et de mesure.

• Le responsable de ces actions de surveillance et de mesure.

• La fréquence d’analyse des résultats de surveillance et de mesure.

• Le responsable de l’analyse des résultats de surveillance et de mesure.

Une fois de plus, toutes ces informations doivent être documentées et conservées comme preuves des résultats de la surveillance et des mesures.

L’audit interne

Afin de s’assurer que le SMSI mis en oeuvre est conforme aux exigences de l’organisation concernant son SMSI ainsi qu’aux exigences de la Norme Internationale, l’organisation doit : 

• Planifier, établir, mettre en oeuvre et tenir à jour un ou plusieurs programmes d’audit, qui incluront la fréquence des audits, les méthodes d’audit, les responsabilités, les exigences de planification et l’élaboration des rapports.

• Définir les critères d’audit ainsi que le périmètre de chaque audit.

• Sélectionner des auditeurs et réaliser des audits qui assurent l’objectivité et l’impartialité du processus d’audit.

• S’assurer qu’il est rendu compte des résultats des audits à la direction concernée.

• Conserver des informations documentées comme preuve de la mise en oeuvre du ou des programmes d’audit et des résultats d’audit.

Ces audits permettront de mettre en lumière les vulnérabilités encore présentes dans le système d’Information de l’organisation et de produire des recommandations de correctifs qui permettront, une fois mis en oeuvre, de s’assurer que les objectifs de sécurité sont atteints et que le SMSI fonctionne de façon optimale. 

La revue de direction

Cette revue de direction doit être réalisée à intervalles réguliers, et permet de s’assurer que le SMSI mis en place par l’organisation est toujours approprié, adapté et efficace.

Cette revue de direction doit ainsi prendre en compte :

• L’état d’avancement des actions décidées à l’issue des revues de direction précédentes.

• Les modifications des enjeux externes et internes pertinents pour le SMSI.

• Le retour sur les performances de sécurité de l’information (non-conformités, actions correctives, résultats de l’évaluation de surveillance et des mesures, etc.)

• Les retours d’information des parties intéressées.

• Les résultats de l’appréciation des risques et de l’état d’avancement du plan de traitement des risques.

• Ainsi que les opportunités d’amélioration continue du SMSI.

Une fois encore, chaque élément d’information doit être documenté et conservé comme preuve des conclusions des revues de direction.

Pour une vision plus globale des étapes clés nécessaires à l’implémentation d’un SMSI et l’accès à la certification ISO 27001, vous pouvez vous référer à notre article de blog « Certification ISO 27001 : exigences et processus de certification ».

Articles complémentaires :

• Utiliser la roue de Deming dans la cadre d’une certification ISO 27001: phase Plan

• Certification ISO 27001 : exigences et processus de certification

• La norme ISO 27001 et le SMSI (Système de Management de la Sécurité de l'Information)

Vous avez apprécié cet article de blog ?

Retrouvez plus de contenus en rapport avec la cybersécurité et la conformité réglementaire au RGPD sur le blog de CyberSecura !

Découvrez-en plus sur notre prestation d'accompagnement vers la certification ISO 27001 !

Nous avons besoin de vos réponses !

En répondant à cette enquête, vous nous permettez de mieux comprendre vos interactions avec notre site ainsi que vos potentiel besoins.

Vos réponses sont anonymes, et à moins que vous ne demandiez à être re-contacté(e) par nos équipes, aucune information personnelle ne vous est demandée !

Merci pour vos réponses !

Vous souhaitez être informé(e) de nos actualités, et recevoir nos derniers articles de blog directement dans votre boite mail ? Abonnez-vous à notre newsletter mensuelle !

Vous souhaitez discuter de vos difficultés, de vos besoins, de nos offres ? Demandez à être contacté, gratuitement et sans engagement, par l'un de nos expert en cybersécurité !