Le monde de la technologie ne cesse de grandir et de nombreuses innovations voient le jour au quotidien. Ces progrès apportent des changements majeurs sur le marché de la technologie notamment des concurrents et l’augmentation des menaces de cybersécurité.

Pour survivre dans cet environnement évolutif, les organisations s’inscrivent dans les démarches de la norme ISO 27001 et se dotent d’un Système de Gestion de Sécurité Informationnelle.

La norme prévoit à cet effet, des exigences pour mettre en œuvre efficacement ce système en vue de protéger les actifs informationnels. Les organisations n’arrivent malheureusement pas à remplir toutes les exigences de cette norme.

La clause 10.1 prévoit un certain nombre d’exigences pour détecter tous les manquements aux règles de la norme et des actions correctives. Par cette clause, la norme cherche à inciter les organisations à améliorer continuellement leur système afin de s’aligner sur l’évolution du marché.

Cet article aborde les exigences de la clause 10.1 pour les non-conformités et les actions correctives. Nous découvrons ensuite comment détecter ces non-conformités et initier des actions correctives appropriées.

Aperçu de la clause 10.1 de la norme ISO 27001

La clause 10.1 de la norme ISO traite des actions correctives et les organisations doivent montrer, à travers ces actions, comment elles réagissent aux non-conformités. Les non-conformités peuvent résulter du non-respect d’une exigence de la norme pour les SGSI.

Bien que les non-conformités puissent bloquer une organisation dans sa démarche d’obtention de la certification ISO 27001, il n’est malheureusement pas possible de les éviter ou de les éliminer définitivement.

Cela reviendrait à empêcher des erreurs de se produire au sein d’une organisation, ce qui est contre nature. La clause 10.1 recommande plutôt d’identifier les problèmes lorsqu’ils se présentent et de les traiter en conséquence.

Protection des donnees

Source : channelfutures

Les non-conformités sont nombreuses, mais sont généralement liées :

  • Au non-respect des exigences de la norme ;
  • À la non-conformité à des règles ou des contrôles décrits dans le SGSI ;
  • Au non-respect des exigences légales, contractuelles ou commerciales.
  • Les non-conformités en elles-mêmes sont diverses et on peut citer :
  • Des employés qui ne suivent ni les procédures ni les politiques ;
  • Des fournisseurs qui ne livrent pas leurs produits ou services ;
  • Des projets qui n’aboutissent pas aux résultats attendus ;
  • Des contrôles qui ne marchent pas comme prévu.

Les organisations réagissent aux non-conformités en prenant des mesures pour non seulement les maîtriser, mais aussi les corriger et gérer les conséquences qui en découlent.

Action corrective

Source : ytimg

La norme exige que ces mesures appelées actions correctives soient traitées de manière spécifique. Pour cela, les organisations sont contraintes d’indiquer clairement :

  • Où le personnel peut signaler les non-conformités ;
  • Qui doit les examiner et prendre des décisions ;
  • Qui est responsable de l’élimination de chaque non-conformité.

Ce faisant, les organisations s’assurent que la mise en œuvre des actions correctives est rapide et transparente. De plus, cela garantit que l’ensemble de l’organisation est au courant des changements et de la manière de les exécuter.

Comment reconnaître les non-conformités de l’ISO 27001 ?

Pour reconnaître les non-conformités, les organisations se basent sur leurs différentes activités. Il s’agit des résultats issus des activités telles que :

  • Les revues de direction comme mentionnée dans la clause 9.3 ;
  • Les audits internes de la clause 9.2 ;
  • L’évaluation de la performance du SGSI.

Compliance

Source : technologyadvice

Les non-conformités se manifestent souvent par :

  • Des insuffisances dans les actions entreprises dans le cadre du SGSI ;
  • Des contrôles inefficaces qui n’obtiennent pas les correctifs appropriés ;
  • Les plaintes des clients ;
  • Les alertes des fournisseurs ou des clients ;
  • Les résultats de surveillance ou de mesure effectués à la clause 9.1 qui ne répondent pas aux attentes ;
  • Les objectifs n’ont pas été atteints.

L’analyse des données de sécurité peut aussi aider les organisations à trouver les non-conformités liées aux exigences de leurs SGSI.

Par ailleurs, les organisations doivent apprendre à tirer une leçon de ces éléments en parcourant l’historique de l’événement à travers la documentation. Il s’agit conserver un enregistrement de :

  • Ce qui s’est passé ;
  • Les conséquences indésirables de l’événement, les mesures prises pour les contenir et les atténuer ;
  • La cause profonde de l’événement (si elle a été déterminée) ;
  • L’action entreprise pour éliminer la cause fondamentale (si nécessaire) ;
  • Une évaluation de l’efficacité de toute action entreprise.

Comment traiter les non-conformités conformément à la clause 10.1 de l’ISO 27001 ?

Le traitement des non-conformités se réalise généralement en trois étapes à savoir :

  • Identification de la non-conformité ;
  • Enregistrement de la non-conformité ;
  • Prise de mesures adéquates pour la corriger.

Pour cela, il est essentiel de déterminer dans un premier temps l’étendue de la non-conformité et de ses conséquences. Les actions correctives seront ensuite choisies de manière à réduire l’impact de la non-conformité.

Non conformite Maitrise

Source : jl-assistance-qualite

Les actions correctives sont un mécanisme par lequel les organisations apportent des améliorations et réduisent les faiblesses de leur SGSI. Elles sont requises par l’ISO 27001 lorsqu’une non-conformité ou une déficience est détectée.

La nécessité d’une action corrective découle des activités qui révèlent les non-conformités ou des déficiences comme mentionnées précédemment. Elle permet de remédier aux problèmes dans le respect des procédures adéquates.

Analyse des causes profondes des non-conformités à l’ISO 27001

L’analyse des causes profondes des non-conformités est cruciale pour définir des actions correctives appropriées et efficaces. Ceci permet d’aller en profondeur et de prendre connaissance de ce qui s’est réellement produit.

L’approche la plus simple pour avoir une compréhension approfondie des choses est la technique des « 5 pourquoi ». Le but de cette technique est de remonter à la cause profonde d’un problème en posant 5 fois la question « pourquoi ».

Causes profondes des non-conformites

Source : leblogdudirigeant

À titre d’exemple, cette technique peut être appliquée au problème suivant : l’organisation est infectée par un virus.

  • Pourquoi ?

Un employé a cliqué sur un lien contenu dans un courrier électronique et téléchargé le virus.

  • Pourquoi ?

L’employé n’a pas été formé à cliquer sur des liens dans des courriels qu’elle ne s’attendait pas à recevoir.

  • Pourquoi ?

Le responsable de la formation est en congé et l’organisation ne l’a pas remplacée.

  • Pourquoi ?

Le processus d’octroi de congé n’a pas pris en compte la gestion des changements. Par conséquent, une évaluation de risque n’a pas été effectuée à propos de cela pour déterminer les risques de sécurité.

Exécution des actions correctives de la clause 10.1 de l’ISO 27001

Après avoir examiné les non-conformités et effectué une analyse approfondie des problèmes, les organisations doivent déterminer si une action corrective est nécessaire.

Elles doivent aussi établir des modèles et les critères qui permettront de repérer plus rapidement des situations similaires à l’avenir.

Reperer plus rapidement des situations similaires

Source : endpointprotector

L’évaluation de l’étendue des conséquences sur le SGSI quant à elle permet d’identifier les non-conformités supplémentaires. Elle permet également de détecter les non-conformités similaires qui peuvent exister dans d’autres domaines afin de les identifier dans un bref délai.

Par ailleurs, les organisations doivent se baser sur l’analyse des causes possibles de la non-conformité pour savoir si les actions correctives à mettre en œuvre sont proportionnelles à l’impact des non-conformités.

Elles doivent aussi s’assurer qu’aucun effet secondaire ne résulte des actions correctives ou qu’elles soient susceptibles d’entraîner une non-conformité plus large ou un risque accru pour la sécurité des informations.

Pour la mise en œuvre proprement dite, les organisations doivent apprêter un plan d’actions correctives qui donne la priorité aux domaines où les conséquences de la non-conformité sont plus importantes.

Plan d analyse corrective avec les causes de base

Source : slideteam

La même attention sera portée aux domaines où la probabilité de récurrence est plus élevée. Le plan précise également les délais pour l’exécution de chaque action corrective.

Les organisations doivent mettre en œuvre les actions correctives prescrites dans ce plan. Pour finir, elles doivent déterminer si les actions correctives ont permis de traiter la cause et de prévenir de futures non-conformités en évaluant les résultats de l’action corrective.

Ce processus peut également conduire à de nouvelles possibilités d’améliorations. L’évaluation des actions correctives doit être impartiale, fondée sur des preuves qui sont documentées. Il en est de même pour les personnes responsables de l’exécution.

Comment démontrer que les non-conformités de l’ISO 27001 sont traitées ?

Pour démontrer les non-conformités, il faut au préalable s’assurer que les actions correctives sont entreprises normalement. Prendre contact avec le personnel concerné est le moyen le plus simple pour y arriver.

Il est aussi possible de prendre d’autres mesures lorsque les actions correctives n’ont pas atténué les non-conformités. En ce qui concerne la démonstration du traitement des non-conformités, il suffit de documenter les actions entreprises à cet effet.

Documenter toutes les actions

Source : ashleywali

La preuve de toutes les étapes du traitement des non-conformités et des actions correctives doit être conservée. En plus de ces preuves, les organisations doivent pouvoir fournir aussi la preuve que les actions correctives sont efficaces.

Dans certaines organisations, la surveillance des non-conformités et des actions correctives s’effectue par le biais d’un registre. D’autres utilisent par contre de simples formulaires papier spécialement conçus à cet effet.

Cette manière de faire n’est malheureusement pas une bonne pratique. Il peut arriver que les feuilles soient égarées. Ceci rendrait l’effort des organisations inutiles puisqu’il n’y aura plus de preuve de traitement des non-conformités et des actions correctives.

L’une des solutions les plus courantes est l’utilisation d’un outil de gestion des tâches que la grande majorité des organisations utilisent déjà. Cette pratique est simple et conforme à la norme ISO 27001.

Conclusion

Au terme de cet article, il convient de retenir que la clause 10.1 traite la manière dont les organisations détectent les non-conformités et adoptent des actions correctives appropriées pour les éliminer.

Pour répondre aux exigences de cette clause, les organisations exploitent les résultats des différentes opérations de l’organisation comme les audits internes pour détecter les problèmes.

Elles prennent ensuite des mesures pour ces problèmes avec leurs conséquences. Elles doivent également identifier les non-conformités similaires qui existent dans d’autres domaines de l’organisation afin d’éliminer les causes.

Les organisations doivent démontrer toutes les étapes ainsi que les résultats des actions correctives pour prouver aux auditeurs de la certification qu’elles sont appropriées et efficaces.

Le traitement des non-conformités et des actions correctives est une opération clé pour les démarches de la certification et les organisations ne peuvent pas le considérer comme une simple formalité.

Vous pouvez recourir à l’expertise d’un spécialiste comme Protectam qui vous aide à éliminer toutes les non-conformités et vous accompagne dans les démarches de la certification afin d’obtenir l’ISO 27001 à votre premier essai.