Chaque membre d’une entreprise a une mission fixe à accomplir pour la bonne marche des activités de celle-ci. Il en va de même pour le Système de Management de la Sécurité de l’Information (SMSI) puisque ceux qui la mettent en œuvre doivent connaître leur véritable mission. 

La clause 5.3 nous parle de rôles, de responsabilités et d’autorités en ce qui concerne la norme ISO 27001. Ces mots vous disent sûrement bien quelque chose, mais il serait judicieux d’enlever toute ambiguïté. C’est la raison pour laquelle nous vous présentons cet article qui traite de :

  • La stipulation réelle de la clause 5.3 ;
  • Les moyens d’observation de cette clause.

Avant d’aborder ces différents sujets, nous allons vous faire un bref récapitulatif de ce que c’est que la norme ISO 27001 et ses exigences envers les entreprises. 

L’Importance de la norme ISO 27001 

Si vous avez été une fois victime :

  • D’une Cyberattaque ;
  • D’une perte d’informations sensibles ;
  • D’un vol ;
  • D’une perte financière.

Au sein de votre entreprise, vous devez impérativement connaître cette norme. En effet, l’ISO 27007 est une norme internationale qui a pour but d’assurer la gestion de la sécurité de l’information. 

Elle œuvre pour que les entreprises de petite, moyenne, ou de grande taille soient en mesure de respecter les exigences en matière de sécurité d’information. Ceci, quels que soient leurs secteurs d’activités.

Cette norme établit de manière claire les exigences présenter sous forme de clauses afin de mettre en œuvre un SMSI (Système de Management de la Sécurité de l’Information) performant.  

La norme ISO 27001 Phase Plan du SMSI

Source : Slideplayer

Un SMSI performant présente les avantages suivants :

  • La protection des données sensibles : Un SMSI vous permet d’éviter que les informations jugées importantes pour votre entreprise soient utilisées pour une mauvaise cause ou qu’elles ne soient pas disponibles à temps ;
  • Une vue claire des choses : Les politiques de sécurité bien rédigés et la répartition claire des fonctions permettent de relever automatiquement les défaillances en y trouvant des solutions beaucoup plus ciblées ;
  • Gagner la confiance des clients : Les clients sont de plus en plus intéressés par la manière dont les entreprises gèrent leurs informations. Avoir un SMSI efficace vous permettra de rassurer vos clients en étant sûr de les revoir au cours d’une prochaine opération ;
  • Réduction des risques financiers : Lorsque vous ne respectez pas les lois, vous pouvez être sévèrement frappé d’amendes. En plus de cela, une perte de données et de réputations peut vous amener à dépenser de l’argent que vous n’aviez pas prévu ;
  • Processus d’amélioration continue : Le SMSI permet de mettre en cause vos procédés en les améliorant de manière permanente pour mieux les ajuster aux objectifs.

Parmi les exigences d’ISO 27001 existe la clause 5.3, qui est intitulée : Rôles, responsabilités et autorités au sein de l’organisation

Information Security Management Standard

Source : Praxiom

C’est de cette clause que nous allons débattre dans les paragraphes qui suivent.

Clause 5.3 :  Rôles, responsabilités et autorités du SMSI

La clause 5.3 de la norme ISO 27001 souhaite s’assurer que votre entreprise ait la maîtrise claire de qui est responsable de quoi dans votre système de management de la sécurité de l’information. 

Elle veut aussi savoir quelles sont les personnes qui prennent des décisions ou élaborent des politiques et enfin quels rôles joue la haute direction dans votre SMSI.

Haute direction : Rôles

Lorsque nous observons de près la clause 5.3 de la norme ISO 27001, nous nous apercevons que son réel objectif est de communiquer. Il est important que vous vous assuriez que le personnel connaisse clairement, quelles sont les exigences à respecter et à quel niveau se situe leur responsabilité.

Deux exigences découlent de cette clause :

  • Que le système de management de la sécurité de l’information corresponde aux exigences de la norme ISO 27001 ;
  • Que le rôle de la haute direction concernant la performance du SMSI soit effectué.

Pour que chacune de ces deux choses soit bien faite, il est important de communiquer au préalable à l’équipe les attentes.

Concernant le rôle des leaders de l’entreprise, ils doivent s’assurer que l’ensemble des éléments ont été mis en place pour le respect des exigences de cette clause. Ils doivent également s’assurer que les travailleurs sont vraiment au courant des exigences et qu’ils les suivent à la lettre.

Pour toute chose, il existe la bonne et la mauvaise manière de faire. Le fait d’écrire un gros document en le laissant se reposer sur une table est une mauvaise manière de procéder et d’espérer que les exigences soient validées par votre équipe .

C’était le rôle de la haute direction en rapport avec le SMSI compte tenu de la clause 5.3, passons sans plus tarder à comment respecter cette clause.

Clause 5.3 : Comment le respecter ?

L’observation des exigences d’une clause n’est pas une action aussi compliquée que cela semble être. D’un autre côté, si l’entreprise arrive à les observer correctement, les avantages qui peuvent en découler peuvent être énormes pour elle. Ce respect favorise le bon déroulement des procédures d’un SMSI efficace. 

Voici quelques points qui démontrent comment respecter les exigences de la clause 5.3.

Définir les responsabilités et les rôles à chaque niveau

La haute direction est celle qui doit se charger de la mise en œuvre intégrale de cette clause. Elle doit s’assurer en effet que chaque membre de l’entreprise ait un rôle qu’il joue ainsi qu’une responsabilité spécifique en ce qui concerne le SMSI.

Responsabilites et les roles a chaque niveau

Source : Researchgate 

Les leaders se doivent également de savoir quels sont les objectifs à atteindre pour le SMSI et quelles sont les parts d’objectifs que les membres ont à atteindre à titre individuel. 

CEI 27001

Source : Slideshare

Ils doivent véritablement mettre l’accent et mieux communiquer sur l’importance de la protection des informations de l’entreprise.

Susciter la communication  

Vous ne le savez peut-être pas, mais il existe des entreprises qui pensent que le juste fait d’écrire l’importance du SMSI et de le distribuer suffit déjà pour être communiqué. Ce faisant vous le documentez juste, ce qui est différent de la communication. 

Pour bien le communiquer, il faudra réellement en parler avec le personnel, leur donner l’occasion de poser des questions, puis proposer des approches de réponses clarifiées.

Utiliser un organigramme

La meilleure méthode pour aider les gens à mieux comprendre la clause est l’utilisation d’un organigramme. Ce dernier est un outil qui décrit et présente de manière succincte, les rôles ainsi que les responsabilités des individus à chaque niveau de l’entreprise.

Exemple organigramme

Source : Openclassroom 

Présenter cela comme un guide aux employés lors d’un rassemblement est une bonne chose, mais c’est encore meilleur si vous le présentiez et expliquiez de manière individuelle.

La création d’une matrice ou un ebook dans lequel figurent clairement les rôles et les responsabilités est également une option qui s’offre à vous et dont vous pouvez tirer profit.

Assurer la communication permanente

Nous l’avons briefé un peu plus tôt. La direction doit assurer la communication permanente avec les membres de l’entreprise afin de mieux communiquer :

  • L’importance d’une bonne gestion de la sécurité de l’information 
  • La nécessité de respecter les politiques de sécurité de l’entreprise.

Elle doit employer en effet, tous les moyens nécessaires à sa disposition pour y parvenir, cela peut être à travers des promotions, des encouragements, etc. Les gens doivent avoir à l’esprit les avantages que cela constitue pour l’entreprise et entrer dans la danse avec vous. 

Deployer et mettre en oeuvre un SMI

Source : Slideshare

Toute l’entreprise doit pouvoir jauger et admettre son degré d’importance tout en maîtrisant les risques auxquels il pourrait être confronté. Enfin, chacun doit s’inculquer qu’il est responsable du succès de la sécurité de vos informations ainsi que de votre SMSI.

Résumé

Les rôles et les responsabilités des autorités constituent une clause à part entière avec des exigences qu’il est important de respecter. La haute direction doit œuvrer pour faire connaître aux employées le système de management de la sécurité de l’information.

Il doit également employer des moyens pour situer les rôles et les responsabilités des membres de l’entreprise à chaque niveau du SMSI. 

Pour bien vous y prendre, il vous a été présenté dans cet article les moyens efficaces que vous pouvez employer pour respecter la clause 5.3 de la norme ISO 27001.

Merci de nous avoir suivis.