Clause 4.1 : Compréhension de l’organisation et de son contexte – ISO 27001

par | Juil 27, 2021 | ISO 27001 | 0 commentaires

4.1 Compréhension de l'organisation et de son contexte

Introduction

Toute entreprise, quelle que soit sa taille, peut mettre en œuvre la norme ISO 27001 et être certifiée. 

L’article 4.1 – Compréhension de l’organisation et de son contexte est le premier article applicable de la norme. Celui-ci vous invite à identifier les enjeux internes et externes à votre entreprise qui pourraient affecter la réussite de votre projet. Si cet article est appliqué et compris dans le bon sens, il peut s’avérer très bénéfique pour assurer le succès de votre Système de Management de la Sécurité de l’Information (SMSI).

 

 

Clause 4.1 – Compréhension de l’organisation et de son contexte

L’article 4.1 – Compréhension de l’organisation et de son contexte de la norme ISO 27001 requiert de la direction de l’entreprise qu’elle s’interroge et qu’elle identifie les enjeux et les problèmes internes et externes à l’organisation qui pourrait avoir un impact sur la réussite du système de management de la sécurité de l’information et des résultats attendus par sa mise en oeuvre. 

Ces problèmes, une fois identifiés, expliqués et examinés pourront être plus facilement contrés.

Notre tâche est donc, de vous aider à déterminer les divers problèmes dont parle la clause 4.1 et qui peuvent affecter les résultats de votre SMSI.

Exemple d’enjeux internes pouvant impacter les résultats attendues du SMSI

Les enjeux dits “internes” sont ceux qui ont un rapport direct avec l’organisation.

Plusieurs enjeux peuvent être sélectionnés compte tenu :

  • Du secteur de l’entreprise ;
  • De la taille de l’entreprise ;
  • De la portée de l’entreprise ;
  • Des produits et services qu’offre l’entreprise.

Pour les identifier, il est conseillé d’avoir une approche pragmatique et de veiller à cette tâche ne deviennent pas un exercice de stratégie majeur, lorsque cela n’est pas nécessaire. 

Il est à noter également que tous les problèmes ou enjeux ne représentent pas nécessairement un risque pour votre entreprise. Certains peuvent être plus importants que d’autres. Nous vous conseillons donc d’organiser les enjeux identifiés, aussi bien internes qu’externes, en fonction de leur degré d’importance.

Nous vous présentons ci-dessous certains des problèmes internes les plus importants et les plus couramment rencontrés.

Les problèmes internes liés aux informations pouvant impacter le résultat du SMSI 

Vous devez lister ici les enjeux pour votre entreprise qui sont liés à l’information elle-même. En particulier, les enjeux et problèmes pouvant impacter la confidentialité, l’intégrité et la disponibilité de l’information.

Ici, il est important de prendre en compte les informations :

  • Créées ;
  • Utilisées ;
  • Stockées ;
  • Gérées par l’entreprise.

Elles sont d’une valeur inestimable pour l’entreprise et ses parties prenantes. 

Ce sont des informations qui sont souvent en rapport avec :

  • Les données personnelles ;
  • Les fichiers clients ;
  • Les droits à la propriété intellectuelle ;
  • Les données financières ;
  • Les informations concernant les produits et services de l’entreprise ;
  • La marque ;
  • Les code sources d’application.

Celles-ci sont à la base du fonctionnement du SMSI et leur identification à cette étape facilitera la mise en oeuvre des étapes suivantes pour la mise en oeuvre du SMSI.

Les enjeux internes liés aux personnes susceptibles d’impacter le résultat du SMSI

La protection des ressources humaines est un facteur important du SMSI. Plusieurs clauses de la norme sont axées sur les personnes, les employés, ainsi que les ressources externes comme les fournisseurs. 

Vous devez considérer et énumérer ici les enjeux qui existent en rapport avec les ressources humaines tels que :

  • Le recrutement : On relève à ce niveau les difficultés auxquelles sont confrontés les recruteurs pour embaucher les personnes compétentes. Il faut également mentionner le taux de rotation du personnel qui est soit élevé ou soit faible.
  • La compétence : Il peut s’agir des formations internes que le personnel reçoit. Est-ce que les employées reçoivent des cours permettant de les initier à la sécurisation de l’information ? Est-ce que cela produit un résultat ? Ce sont des questions que vous devez vous poser pour la réussite de votre SMSI.
  • La prise de responsabilité : Apprendre au personnel à se conformer aux politiques et aux contrôles. Vous devez vous poser la question de savoir, est-ce que l’employé s’intéresse vraiment à la sécurité de l’information ? Et est-ce qu’il maîtrise le risque couru s’il laisse par exemple son ordinateur de travail déverrouillé et connecté pour aller aux toilettes.
  • Le périphérique d’accès : Qui sont ceux qui ont accès aux informations importantes de l’entreprise ? Qui peut les supprimer ou les modifier ?

Les enjeux internes liés à l’entreprise pouvant affecter le résultat du SMSI 

Les problèmes auxquels peuvent être confrontées les organisations et qui pourraient affecter le système de sécurité de la gestion de l’information peuvent être les suivants :

  • La croissance rapide : elle peut entraîner des problèmes de personnel et de structure. Un changement brutal et rapide pourrait vous empêcher d’avoir la maîtrise des situations et vous fait changer votre plan prévisionnel d’action ;
  • La pression trop importante provenant des dirigeants et des administrateurs ou des actionnaires pourrait aussi bien causer de problèmes (ceux-ci peuvent être de nature positive ou négative) ;
  • Problème associé à la structure et au personnel : lorsque vous ne désirez pas enregistrer tous vos travailleurs comme employés ou que vous avez du mal à en trouver de compétents, il est important que vous externalisiez quelques processus internes.

Les enjeux internes liés aux produits et services qui pourraient affecter le résultat du SMSI 

Il est proposé ci-dessous des exemples d’enjeux de sécurité de l’information lié aux produits et services fournis par certaines entreprise : 

  • Si l’entreprise fournit un service de création et que la sécurité des droits de propriété intellectuelle (DPI) est capital pour la gestion de ses produits, cela est un facteur important à considérer dans le SMSI ;
  • Si l’entreprise est spécialisée dans la fabrication des produits physiques, cela peut aussi entraîner un problème de sécurité physique ou matérielle ;
  • Un fournisseur, par exemple de logiciels, serait plus susceptible d’être confronté à des problèmes de protection des DPI contre le piratage des données numériques et la certification des hébergements. Ce qui serait un problème à prendre en compte dans le SMSI.

Exemple d’enjeux externes qui affectent le SMSI avec le procédé PESTLE 

L’une des méthodes employées pour analyser les enjeux externes est l’utilisation de PESTLE. 

PESTLE (Politique, Économique, Sociale, Technologique, Légale, et Environnementale) est un outil qui permet d’analyser les facteurs externes d’une entreprise. Son objectif est de vous donner des idées claires sur l’environnement de votre entreprise, d’examiner et de vous présenter des opportunités de croissance rapide.

source : impact-innovation

Encore une fois, ici, il faut une approche pragmatique et veiller à ne pas trop s’éloigner des vrais problèmes par de longues réflexions. Vous pouvez trouver ces problèmes externes ou non, de toutes les façons, il est toujours possible d’y retourner.

Il faut aussi noter que les problèmes ou enjeux internes peuvent vous aider à identifier vos enjeux externes. Par exemple, si l’entreprise choisit elle-même de ne pas exécuter toutes les tâches en interne et sollicite par ce biais un fournisseur, il surviendra des enjeux externes liés à ces derniers.

Voici quelques enjeux externes importants qui peuvent affecter le SMSI :

Les enjeux politiques pouvant affecter le résultat du SMSI

Il faut ici considérer les changements de politiques publiques qui pourraient influer sur la croissance et les investissements de votre entreprise. Il peut d’agir de l’augmentation ou de l’apparition de nouvelles taxes, de changements de réglementation de votre secteur d’activité, de modifications du code du travail, de changement politique majeur sur votre marché, etc. 

Les enjeux économiques externes qui peuvent affecter le résultat du SMSI

Il faut identifier ici, les enjeux et les problèmes que pourrait représenter l’économie du marché sur votre chaîne d’approvisionnement, sur vos fournisseurs et vos clients.

A titre d’exemple :

  • Le taux d’inflation ;
  • Le taux d’intérêt actuel ;
  • L’oscillation des taux de change ;
  • Les politiques fiscales gouvernementales
  • le coût et la disponibilité des matières premières 

sont des indicateurs économiques qui doivent être surveillés pour éviter ou anticiper tout problème d’approvisionnement et de pertes de marché.

Les enjeux sociologiques externes impactant les résultats d’un SMSI 

Pour les identifier, il faut que vous vous posiez la question de savoir, en quoi la démographie et la culture de mon marché affecte-t-elle mon entreprise ? 

Par exemple :

  • une population de plus en plus connectée peut représenter une opportunités pour une entreprise du secteur technologique et représenter dans le même temps un risque de perte de marché pour une entreprise d’un secteur plus traditionnel
  • une population vieillissante peut être une opportunité pour les entreprises du secteur de la santé et d’aide à la personne et être considérée comme une source de risque pour d’autres secteurs 

Ceci pour dire que la société qui nous entoure pourrait apporter un réel avantage à la croissance de votre organisation. Mais également, elle peut représenter une concurrence ou impacter négativement vos projets de plusieurs manières.

Les enjeux externes liés aux technologies qui peuvent affecter les résultats d’un SMSI

Les évolutions technologiques sont nombreuses et le rythme des changements à apporter aux organisations est très soutenu. 

Lorsque ces changements sont mal maîtrisés, ils peuvent être une source de risques pour votre entreprise qu’il faut identifier. 

On peut par exemple citer : 

  • le risque de cyberattaque dû au manque de formation et de sensibilisation du personnel aux nouvelles technologies
  • le risque de perte de qualité ou d’indisponibilité de votre service dû à un manque de maîtrise des nouveaux outils
  • le risque de perte de marché dû à un retard d’innovation 

Un autre enjeu technologique pourrait se formuler ainsi : comment l’adoption de cloud ainsi que d’autres tendances technologiques peuvent-elles impacter le SMSI de votre organisation ?

Les enjeux législatifs qui peuvent affecter les résultats du SMSI

Vous devez prendre ici en considération toutes les lois et règlements applicables à votre entreprise dont l’application représente un enjeux important pour la réussite de votre SMSI et la sécurité des informations. Vous devez identifier ce qui pourrait représenter un obstacle à votre conformité (manque de ressources financières ou humaines, manque de compétence interne, contexte réglementaire trop instable, etc.).

Parmis les textes à prendre en considération on peut notamment citer : 

  • Le code du travail 
  • Les lois sur les droits à la propriété intellectuelle
  • Le règlement général sur la protection des données (RGPD)
  • Les lois, règlements et contrats portant sur  la sécurité des informations
  • Tout texte encadrant votre secteur d’activité

Les enjeux environnementaux qui peuvent affecter les résultats du SMSI

Il ne s’agit pas ici de considérer les enjeux environnementaux dû au changement climatique. Il faut comprendre le terme “environnemental” au sens large, c’est-à-dire prendre en considération tout élément de votre environnement qui pourrait avoir une incidence sur votre entreprise et votre capacité à mener à bien l’implémentation de votre SMSI. 

Pour identifier les enjeux liés à votre environnement, vous pouvez commencer par mener une analyse des forces concurrentielles en jeu dans votre secteur en analysant les 5 forces de porter que sont : 

  • le pouvoir de négociation de vos clients : ils peuvent par exemple vous imposer leurs propres exigences de sécurité
  • le pouvoir de négociation de vos fournisseurs : il peut être difficile avec certains fournisseurs d’imposer vos propres exigences ou de modifier un contrat selon vos besoins. C’est un point à prendre en considération pour la réussite de votre SMSI 
  • la menace que représente les produits de substitution 
  • la menace que représente les nouveaux entrants
  • la concurrence directe

 

En résumé  

La norme ISO 27001 vous permettra d’implémenter un système qui vous aidera à gérer la sécurité de l’information de votre organisation. Elle comprend des clauses dont la clause 4.1 – compréhension de l’organisation et de son contexte qui a été détaillée dans cet article. 

Cette clause veut que la direction de l’entreprise identifie les problèmes internes et externes qui pourraient porter atteinte au résultat du système de management de la sécurité de l’information.

C’est dans cette optique que nous vous avons présenté quelques exemples d’enjeux internes et externes et quelques méthodes à appliquer pour les identifier pour que vous puissiez mieux comprendre ce qui est attendu de la clause 4.1. 

Nous espérons que ce contenu vous a été utile.

Merci et à bientôt !

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *