Avez-vous déjà entendu des gens dire qu’une telle responsabilité ne relève pas d’eux, mais de la direction ? Probablement oui ! Mais c’est aussi une situation qui peut rapidement semer la confusion et non seulement ça, détruire à petit feu le système de management de la sécurité de l’information que vous essayez d’établir.
C’est pour éviter ces cas de figure qu’apparaît la clause 5.1 de la norme ISO 27001 qui met l’accent sur le leadership et l’engagement. Elle définit la responsabilité de la hiérarchie à chaque niveau de l’entreprise en s’assurant que le système de sécurité s’applique à toute l’entreprise et qu’il soit utilisé aussi bien par la hiérarchie elle-même que par les employés.
Alors :
- Que retenir du leadership et de l’engagement ?
- Quels sont les éléments clés pour réussir cette clause ?
Les réponses dans la suite de l’article.
Table of Contents
ISO 27001 : Que retenir de ses exigences ?
Il est important que vous sachiez d’abord ce que la norme ISO 27001 signifie.
De son vrai nom ISO/IEC 27001, la norme ISO 27001 est une norme internationale conçue par l’Organisation internationale de normalisation (International Organization for Standardization ISO).
Source : NBN
Elle a pour mission d’assurer la sécurité de l’information d’une entreprise. Elle protège votre entreprise contre :
- Les cyberattaques ;
- Les pertes de données ;
- Etc.
Ceci est possible grâce à l’élaboration d’un système appelé Système de Management de la Sécurité de l’Information (SMSI).
La norme ISO définit plusieurs exigences qui couvrent ce système et qui concourent à sa bonne mise en œuvre. Celles-ci sont détaillées dans des clauses de 4 à 10. Celui qui nous concerne actuellement se retrouve au niveau 5 et se présente comme suit :
Article 5 – Leadership :
- 5.1 : Leadership et engagement ;
- 5.2 : Politique ;
- 5.3 : Rôles.
Clause 5.1 de la norme ISO 27001 : Stipulation
Pour rappel, il est important de savoir que la norme exige un strict minimum de respect pour ses exigences, vous pouvez choisir d’en faire plus si vous le voulez.
Il est alors important que vous décidiez de ce qui est bon pour votre entreprise. Mais revenons à au sujet qui nous rassemble ici.
La clause 5.1 – Leadership et engagement énonce que :
“La direction doit faire preuve de leadership et d’engagement à l’égard du système de gestion de la sécurité de l’information“.
Source : PQB
Cela voudrait dire que les organismes chargés de l’audit recherchent des indices qui prouvent que la haute direction s’intéresse réellement aux processus et qu’elle interagit de manière régulière avec le SMSI ainsi que le personnel.
Ces auditeurs chercheront à savoir si vous faites vraiment preuve de leadership. Ne vous étonnez pas s’ils vont jusqu’à investiguer vos personnels pour savoir si vous prenez des mesures de leadership et d’engagement envers le SMSI.
Nous avons préparé pour vous quelques éléments qui pourront vous éclairer sur ce qui pourrait être un bon leadership et un meilleur engagement du SMSI.
Vérification de la politique de sécurité et des objectifs de sécurité
Vous devez vous assurer que la politique de sécurité ainsi que les objectifs du SMSI sont bien définis.
Source : Pqb
Vous devez également veiller à ce que ces politiques correspondent aux besoins de l’entreprise ainsi qu’aux stratégies que vous avez élaborées.
Pouvoir intégrer le SMSI aux processus de vente de l’entreprise
Il est très important de pouvoir toujours garder le système de management de la sécurité de l’information proche de votre entreprise. Il représente un facteur essentiel de votre entreprise que vous devez opérationnaliser continuellement pour le maintenir en vie.
Essayez de faire le nécessaire pour l’intégrer dans tous les compartiments de votre entreprise, en le faisant participer activement au mode de vie de chacun ainsi que du vôtre en tant que dirigeant et supérieur hiérarchique.
C’est une tâche à laquelle vous devez réfléchir quotidiennement. Elle doit donc représenter un facteur à part entière du fonctionnement de l’entreprise.
Assurez la disponibilité des ressources nécessaires pour le SMSI
Il ne revient pas uniquement au spécialiste responsable du service informatique de prendre en charge votre système ISO 27001. Les membres de la hiérarchie (Direction) doivent être sûrs qu’ils ont pris en compte le temps nécessaire qu’il leur faudra pour couvrir le SMSI sur tous les secteurs de l’entreprise.
Source : RI
Cela voudrait tout juste dire que vous devez :
- Élaborer sur quelle période le personnel sera en impliqué dans le système ;
- Réfléchir aux outils ;
- Réfléchir aux équipements ;
- Réfléchir aux logiciels ;
- Réfléchir aux formations ;
- Réfléchir aux documents ;
- Réfléchir aux supports d’information.
Après avoir porté une réflexion productive sur ces choses, vous pouvez maintenant mettre des ressources à leurs dispositions pour mieux atteindre les objectifs sans pour autant endommager le système et stresser les personnes.
En réalité, lorsque vous intégrez cette procédure aux activités quotidiennes de votre entreprise, cela vous fait gagner un temps précieux.
Faire comprendre l’importance de la gestion de la sécurité de l’information
Nous allons le répéter autant que possible, en tant que leader, il est crucial que vous montriez le bon exemple et que vous vous prononciez sur le concept du SMSI à chaque fois que l’occasion se présentera à vous.
Vous devez être le portrait parfait de quelqu’un qui est engagé dans le soutien du système de gestion ISO 27001.
Cela pourrait nécessiter :
- Des séances de coaching avec votre personnel ;
- Des formations ;
- Des briefings avec les membres d’équipe ;
- Des débats et rencontres trimestrielles sur l’état de l’entreprise ;
- Des examens de performances ;
- De l’élaboration d’objectifs privés.
Les diverses procédures que vous employez pour obtenir un bon système de management de la sécurité de l’information doivent simplement s’insérer dans vos actions journalières sans aucune réflexion et doivent représenter un allié parfait pour votre équipe hiérarchique.
Veiller à ce que le SMSI atteigne les objectifs qui lui sont définis
Vous êtes d’accord avec moi qu’il serait inutile d’élaborer un système sans pouvoir réussir les objectifs escomptés. Si cela s’avérait être le cas, vous devez savoir que votre système a réellement besoin de mesures.
Source : Ismsalliance
Ces mesures ou indicateurs peuvent être :
- Commerciales ;
- Individuelles ;
- Significatives.
Engager, coordonner et soutenir le personnel pour la performance du SMSI
Ici, il s’agira de manifester un engagement réel pour le SMSI en soutenant les travailleurs dans l’assimilation et l’amélioration du système. Ce qui rendra ce dernier plus efficace. Il est absolument inutile de vouloir se forcer ou d’essayer de travailler avec un système beaucoup trop compliqué à exécuter.
L’expérience garantit à 100% que les employés contournent par des méthodes qui pourraient détruire votre système, si celui-ci s’avère trop difficile à employer. Cela pour dire qu’il n’existe pas de processus idéals dans le SMSI.
En effet, lorsqu’un processus est déplorable, elle l’est tout simplement. Il vous revient alors de trouver des solutions pour l’améliorer. C’est la doctrine d’ISO, une politique en amélioration continue.
Encourager l’amélioration
Cette étape rejoint le précédent. Il est important que tout le monde sache que vos processus et systèmes ne sont pas gravés tels des symboles historiques dans un musée.
En effet, les personnes impliquées doivent garder à l’esprit que ce sont des systèmes auxquels vous pouvez apporter des améliorations à tout moment et qu’ils pourraient également vous aider dans cette tâche à chaque fois que se présente l’occasion.
Le fait d’encourager l’amélioration est de féliciter non seulement tous les efforts qui poussent vers l’avant, mais également d’encourager les échecs qui ont été des tentatives d’amélioration du système.
Prendre en compte les autres facteurs pertinents à la gestion
Ce qui rend le système de management de la sécurité de l’information plus intéressant est qu’il s’agit essentiellement d’un travail d’équipe. Nous avons déjà eu à le mentionner précédemment, “il n’est plus question d’endosser le système de gestion au responsable du service informatique et de se défiler”. Non ! Tout le monde doit être impliqué à son élaboration.
Source : Utc
Ce qui voudrait dire qu’en étant une équipe, vous devez vous rassembler en vous assurant que les processus et principes du système sont bien insérés dans chaque compartiment de votre entreprise. Vous devez donc mobiliser mutuellement les ressources et l’aide nécessaire pour atteindre les objectifs.
Résumé
Le respect de la clause 5.1 qui désire que l’on fasse preuve de leadership et d’engagement envers le SMSI n’est pas un précepte compliqué à observer. La recette miracle est de juste croire qu’elle est importante et peut apporter beaucoup d’opportunités à votre entreprise.
Si vous détenez des données sensibles, il est capital à l’ère du numérique de penser à la protection de celles-ci. Vous devez donc encourager, éduquer et rappeler continuellement à votre équipe le rôle du système de management de la sécurité de l’information au sein de l’entreprise. Et c’est tout ce que souhaite la clause 5.1 de la norme ISO 27001.
Nous espérons que cet article vous a éclairé. Si vous avez des préoccupations, n’hésitez pas à nous les poser.
Commentaires récents