La nature des problèmes de cybersécurité est en constante évolution et ces problèmes sont devenus un défi quotidien pour toutes les organisations. Dans une étude, Cybint montre que 95 % des failles de sécurité proviennent d’une erreur humaine.
Dans ce contexte, le renforcement de la compétence du personnel apparaît comme une priorité pour réduire les risques de cybersécurité. Malgré cela, les organisations peinent à trouver les compétences indispensables à leurs Systèmes de Gestions de la Sécurité de l’Information (SGSI).
Alors concrètement,
- Comment déterminer les compétences requises pour la sécurité de l’information ?
- Comment évaluer la compétence disponible au sein des organisations ?
- Comment combler les lacunes de compétences identifiées ?
La clause 7.2 de la norme ISO 27001 est consacrée à la compétence en matière de sécurité de l’information et propose une série d’exigences qui répond aux questions ci-dessus. Cet article aborde les exigences en compétence pour les SGSI ainsi que la mise en œuvre de ces exigences.
Table of Contents
Aperçu de la clause 7.2 de la norme ISO 27001
La clause 7.2 traite de la compétence et la mise à disposition de formation aux personnels. Elle exige que les personnes qui travaillent dans une organisation soient conscientes de la politique de sécurité de l’information.
Ces personnes doivent également comprendre les implications de la non-conformité à cette politique et la manière dont chacune d’elles contribue à l’atteinte des objectifs de sécurité.
Source : wixstatic
L’organisation doit identifier la compétence essentielle à toutes les personnes de l’organisation dont le travail impacte sur ses performances en termes de sécurité de l’information. Pour cela, l’organisation s’assure que ces personnes sont compétentes en se basant sur leurs éducations, leurs formations ou des expériences appropriées.
Lorsque les personnes concernées ne disposent pas des compétences nécessaires, l’organisation met en œuvre une série d’actions pour acquérir les compétences pour son SGSI. Elle doit pouvoir aussi évaluer l’efficacité de ses actions.
En termes simples, la clause 7.2 de la norme ISO 27001 présente les exigences pour garantir la compétence des ressources qui soutiennent le SGSI. Cette clause est aussi les mêmes pour les normes :
- ISO 27701 ;
- ISO 22301 ;
- ISO 9001.
Ceci démontre de l’importance fondamentale de la compétence au sein des systèmes de gestion.
Source : chamberlandconseil
La conformité à cette clause s’inscrit dans l’amélioration continue des SGSI. Ainsi, les organisations qui adoptent la clause 7.2 de la norme ISO 27001 s’engagent à améliorer continuellement leur SGSI pour atteindre leurs objectifs et maximiser le retour sur investissement en matière de sécurité.
Les exigences de la clause 7.2 de la norme ISO 27001
Les organisations s’appuient sur les exigences de cette clause pour démontrer leur conformité en matière de compétence des ressources humaines.
Identification des compétences requises pour le SGSI
Cette première exigence consiste à déterminer les compétences indispensables au succès du SGSI. Les ressources doivent être suffisamment capables lorsqu’il s’agit des équipements ou infrastructures et suffisamment compétentes lorsqu’il s’agit des personnes.
Pour y arriver, la clause 7.2 recommande aux organisations de discuter avec les parties prenantes pour établir les compétences stratégiques. C’est une étape qui permet de mettre en évidence également les autres compétences requises comme les compétences techniques et les compétences commerciales.
Évaluer les compétences présentes dans l’organisation
Lorsque les organisations déterminent les compétences requises, elles sont en mesure d’évaluer les compétences actuelles. Le personnel impliqué dans le SGSI et les parties prenantes évaluent leur niveau de compétence. L’évaluation se réalise à l’aide de :
- Entretiens ;
- Évaluations de la direction ;
- Auto évaluations ;
- Autres outils.
Source : smartskilltrust
Par ailleurs, la compétence ne se limite pas à la mise en œuvre du SGSI, les superviseurs, les contrôleurs et les consultants doivent également être compétents dans leurs rôles. Les organisations doivent être en mesure d’expliquer la manière dont elles évaluent la connaissance et les compétences de leurs employés.
Combler les lacunes en matière de compétences
La clause 7.2 exige que chaque employé de l’organisation soit compétent dans les responsabilités qui lui sont attribuées au sein du SGSI. La confrontation des compétences nécessaires et les résultats issus de l’évaluation permettent d’identifier les lacunes qui méritent d’être comblées.
Si l’organisation ne dispose pas des compétences essentielles, elle doit les acquérir. Il existe différentes manières d’acquérir les compétences et donc de traiter les lacunes. Les lacunes techniques par exemple peuvent être comblées par une formation.
Source : piloter
Il existe également une formation spécifique basée sur le SGSI qui peut cibler certains employés. L’élaboration du programme de la formation prend en compte :
- Le public cible ;
- Le message dont le public cible a besoin ;
- La manière dont le message ou la formation sera transmis ;
- Le moment où la formation aura lieu ;
- La fréquence à laquelle la formation doit avoir lieu ;
- La personne qui sera chargée d’organiser la formation ou de livrer le message.
Dans certains cas, les organisations peuvent faire appel à un coach ou un mentor pour aider un employé à se développer dans un domaine particulier.
Bien que certains moyens puissent être coûteux, il existe des ressources gratuites en ligne comme sur ce site. Les organisations peuvent aussi faire appel à nos consultants pour combler les lacunes de manière rationnelle et se faire assister dans la conformité à la clause 7.2 de la norme ISO 27001.
Disposer de la documentation des actions entreprises
Les différentes étapes et les compétences doivent être détaillées dans un document qu’un auditeur pourra consulter. Pour se conformer à la clause 7.1 de la norme ISO 27001, les organisations doivent disposer d’une documentation appropriée.
Elle sert de preuve pour les actions entreprises et démontre ensuite que les organisations disposent d’une base pour le niveau de compétence qu’elles revendiquent. Il est recommandé d’enregistrer les actions entreprises dans un document qui peut être facilement mis à jour et examiné.
Dès que les exigences en matière de compétences sont satisfaites, les organisations doivent pouvoir se justifier par des dossiers comme :
- Des certificats de formation ;
- Des dossiers de présence aux cours ;
- Des évaluations de compétences internes.
La matrice de compétence : outil pour identifier la compétence requise
Certaines organisations utilisent la matrice des compétences encore appelée matrice de talents pour évaluer les compétences nécessaires à un projet et la compétence disponible. Elle apparaît comme un outil pratique pour satisfaire les exigences de la clause 7.2.
Source : kenjo
La matrice des compétences permet de cartographier les compétences nécessaires et celles requises au SGSI. Sur un axe, on liste l’ensemble des compétences dont l’organisation aura besoin pour avoir un système efficace. Sur l’autre axe, on mentionne tous les membres de l’équipe avec leurs compétences et leurs fonctions.
Source : giorgiapizzutiblog
De cette manière, la matrice permet d’avoir une vue d’ensemble des compétences dont elles disposent déjà et celles qu’elles ne disposent pas. Dès lors, elles pourront chercher à combler les lacunes comme expliquées précédemment.
Les bénéfices de la clause 7.2 de la norme ISO 27001
La conformité aux exigences de cette clause garantit que les ressources humaines sont correctement formées aux besoins du SGSI. Cela permet à ce dernier d’être performant pour atteindre les objectifs de sécurité et s’adapter de manière stratégique à un éventuel changement.
L’évaluation fréquente des compétences nécessaires au cours des différentes phases de la planification du SGSI permet de s’assurer que le personnel qui affecte la performance du SGSI acquiert des compétences proportionnelles à son évolution et celle de son environnement.
De plus, un personnel compétent permet de tirer le maximum du SGSI. En effet, il existe une infinité d’outils qui renforce la sécurité et génère des informations pour protéger les ressources informationnelles.
Source : techtranica
Mais le bon fonctionnement de ces outils est lié aux personnes qui les mettent en œuvre et les gèrent. Investir dans la compétence est donc essentiel au succès du SGSI et revient à mettre les personnes impliquées au cœur de ce succès.
Démonstration de la conformité à la clause 7.2 de la norme ISO 27001
La clause 7.2 peut être démontrée par une déclaration générale sur l’équipe impliquée et sa compétence. Les organisations peuvent inscrites dans un tableau :
- Les personnes ;
- Les rôles ;
- Les expériences des personnes ;
- La formation des personnes ;
- L’éducation des personnes.
Ces détails montrent explicitement que chaque personne est impliquée dans de telles activités. Les auditeurs cherchent à savoir si l’équipe impliquée dans la mise en œuvre est compétente et c’est ce que les détails ci-dessus permettent de faire.
Conclusion
Au terme de cet article, les exigences de la clause 7.2 de la norme ISO 27001 se résument comme suit :
- Détermination avec les parties prenantes des compétences requises au SGSI ;
- Évaluation des compétences disponibles ;
- Complément des lacunes identifiées par des formations (autres moyens) appropriées ;
- Disponibilité de la documentation des actions entreprises.
La clause 7.2 par ces exigences permet aux organisations de profiter pleinement de leurs ressources humaines et de minimiser leurs vulnérabilités afin d’atteindre leurs objectifs de sécurité.
Commentaires récents