Le paysage de la cybersécurité évolue constamment et les organisations mènent un combat quotidien contre les problèmes de cybersécurité. Le FBI a indiqué que les cybercrimes signalés ont augmenté de plus de 300 % depuis l’avènement de la pandémie de Covid 19.
De plus, 68 % des chefs d’entreprise trouvent que leurs risques de cybersécurité ne cessent d’augmenter. Ces chiffres témoignent de la nécessité pour les organisations de mettre en place un plan de communication qui répond aussi bien aux besoins internes qu’aux besoins externes de communication.
La clause 7.4 de la norme ISO 27001 sur la sécurité informationnelle aborde dans ce sens et fixe les exigences auxquelles les organisations doivent se conformer en matière de sécurité de l’information.
Cet article donne un aperçu sur l’étendue de la clause 7.4 et aborde ses exigences pour doter une organisation d’un plan de communication efficace.
Table of Contents
Aperçu général de la clause 7.4 de la norme ISO 27001
La communication joue un rôle crucial dans la mise en œuvre d’un système de gestion de la sécurité de l’information (SGSI). Après tout, un SGSI ne sera pas trop utile à une organisation si les employés n’arrivent pas à le comprendre.
Source : wixstatic
Doter l’organisation d’un programme de communication est bénéfique à toute l’organisation et consiste à s’assurer que la sécurité de l’information est bien au premier plan et reste la priorité de tous.
Un bon programme de communication ne se limite pas seulement à la mise en œuvre du SGSI, il s’étend également à toutes les opérations normales de l’organisation qui sont susceptibles d’influencer la sécurité de l’information.
C’est pour cette raison que les organisations doivent déterminer dans un premier temps les besoins de communication interne et externe relative à leurs SGSI. Elles doivent déterminer ensuite les processus par lesquels les besoins en communication seront comblés.
Source : slidesharecdn
Il s’agit de bien planifier et de bien gérer les activités de communication. La clause 7.4 décrit de manière précise ces processus à travers ses exigences. Elle recommande aux organisations de déterminer :
- Ce qui doit être communiqué ;
- Quand il doit être communiqué ;
- À qui doit être communiqué ?
- Qui doit le communiquer ;
- Quel est le processus de communication ?
En effet, une bonne communication passe également par l’identification :
- Des publics cibles ;
- Du contenu ;
- De la fréquence de la communication ;
- Les mécanismes par lesquels elle sera effectuée.
Source : clesaul
Ces exigences peuvent être incluses dans la politique de sécurité et les procédures des organisations. Si ce n’est pas le cas, les organisations doivent chercher à documenter leurs principales activités de communication suivant un processus qui montre clairement les éléments indiqués ci-dessus.
L’analyse des besoins en communication permet d’identifier aisément ces éléments et permet d’élaborer un plan de communication complet.
Les exigences de la clause 7.4 pour l’élaboration d’un plan de communication
La clause 7.4 pose une série de questions auxquelles les organisations sont appelées à trouver des réponses notamment qui doit communiquer ? À qui ? Quels messages ? Sur quoi ? Quand ? Et comment ?
Source : pixabay
Sur quoi communiquer — Le contenu
Les organisations doivent baser leur communication sur ce qui est essentiel pour la sécurité de l’information et l’importance de se conformer aux exigences ainsi qu’à la politique de sécurité. Cette exigence est liée à la clause 7.3 sur la sensibilisation qui recommande que les employés doivent connaître la politique de sécurité de l’organisation.
Les organisations doivent aussi communiquer clairement sur les objectifs de sécurité, les questions liées à la gestion des risques ainsi que les vulnérabilités. Ceci permet au personnel de déclencher une réponse appropriée en cas de menaces et surtout d’effectuer une réaction prévue lorsqu’il est formé à cet effet.
Il est possible d’inclure des clauses de sécurité dans les contrats que les organisations signent avec les parties externes. C’est aussi un excellent moyen pour communiquer par exemple aux fournisseurs, les exigences d’une organisation en matière de sécurité.
Quels messages — La forme et le format
Les messages que l’organisation entend passer en communiquant doivent être explicites et sans ambiguïté. Les messages courts sont les plus efficaces et l’organisation doit se concentrer sur ses véritables intentions afin de produire le comportement attendu.
Source : peachpit
Elle peut aussi se référer aux critères SMART pour se rassurer que le message est complet. Le message proprement dit peut-être passé sous forme :
- Une histoire courte ;
- Des images ;
- Des dessins animés.
Qui — Le communiquant
Cette exigence recommande aux organisations de préciser celui qui est autorisé à communiquer aussi bien en interne qu’avec les parties externes. Il doit incarner l’autorité appropriée pour s’assurer que le message soit accueilli avec toute l’attention nécessaire afin de provoquer la réaction attendue.
Dans la majorité des cas, la direction générale et le service d’assistance sont responsables de la communication interne. Quant à la communication externe, certaines organisations ont leur responsable des relations publiques qui communiquent avec les parties externes.
À qui — La cible
Les organisations doivent identifier le public auquel elles souhaitent adresser leurs messages. Il n’est pas prudent qu’une organisation adresse un message sensible à toute sa liste de distribution.
Source : slidesharecdn
Pour cela, elle doit définir le public cible en fonction du message qu’elle essaie de faire passer. Il peut s’agir des employés, prestataires de services externes ou des actionnaires.
Comment — Le processus
Les organisations doivent déterminer le processus de la communication. La politique de sécurité est le premier moyen par lequel les organisations présentent leurs messages. Les documents qui décrivent les recommandations pour atteindre les objectifs de sécurité constituent aussi un moyen simple pour faire passer des messages.
Il existe bien évidemment d’autres canaux que les organisations peuvent utiliser pour s’assurer que la communication atteint le public ciblé. Il peut s’agir de :
- Courriers électroniques ;
- Affiches ;
- Réunions ;
- Messages audios.
- Travail en face à face ;
- Journées d’équipe.
Quand — La fréquence
Cette exigence concerne la fréquence par laquelle la communication peut être effectuée. La communication doit être continue et en réaction à tous les événements qui sont susceptibles de se produire dans l’année.
Source : beedeez
Les organisations doivent s’assurer que le message est continuellement retransmis notamment aux nouveaux arrivants et à intervalles répétés afin d’être sûr qu’il ne sera pas oublié.
Par ailleurs, les organisations doivent pouvoir adapter le message à chaque nouvelle circonstance qui se présente. Elles doivent être en mesure de modifier ou d’introduire de nouveaux messages ainsi que les canaux et les formats de messages lorsqu’une situation l’exige. En effet, la communication dans les conditions normales ne sera pas la même que dans les moments de crise.
Plan de communication d’une organisation
L’élaboration d’un plan de communication prend en compte les mécanismes de communications existants dont l’organisation peut toujours se servir. Il comporte des aspects internes et externes, mais chacun de ses aspects répond à un besoin spécifique.
Source : freepng
Plan de communication interne
Le plan de la communication interne permet à la direction d’envoyer des messages sur ses objectifs et son engagement envers la sécurité de l’information. Il concerne souvent la diffusion de :
- La politique de l’organisation sur la sécurité de l’information ;
- Les principaux rôles et responsabilités ;
- Le plan de sensibilisation ;
- Les exigences spécifiques pour répondre aux incidents.
Cependant, le plan de communication interne doit être bidirectionnel pour permettre à la base de communiquer vers la direction.
Plan de communication externe
Le plan de communication interne est aussi applicable dans ce cas et les organisations peuvent s’en servir pour communiquer avec :
- Les autorités de régulation ;
- Les clients ;
- Les actionnaires ;
- Les autorités publiques.
Toutefois, les organisations doivent faire preuve de prudence pour ne pas diffuser des informations de nature sensible pour exposer l’organisation.
Documentation du plan de communication
La documentation du plan de communication s’effectue en fonction de la taille de chaque organisation et de ses objectifs en termes de sécurité.
Le plan de la communication peut être entièrement documenté en tant que document séparé à l’instar de la politique de sécurité.
Source : obnl360
Comme mentionné précédemment, il peut être énoncé en quelques lignes dans les autres plans et procédures des organisations selon leurs ressources. En absence de documentation, les organisations seront incapables de prouver que la communication a eu lieu avec les parties prenantes.
De plus, elle démontre que les organisations sont en conformité avec la norme ISO 27001. Les organisations peuvent également se faire assister dans la documentation en sollicitant l’expertise d’un professionnel.
Protectam est spécialisé dans la cybersécurité et s’occupe de toutes vos démarches de conformité ISO 27001. Nous travaillons avec des experts qui vous accompagnent jusqu’à la certification.
Nous vous aidons à mettre en place une stratégie de communication dynamique qui soutient votre SGSI et contribue à l’atteinte de vos objectifs de sécurité.
Conclusion
De tout ce qui précède, la clause 7.4 sur la communication permet à une organisation de s’adresser efficacement à ses parties prenantes afin que ces dernières produisent les réactions qu’elle attend. Une communication dynamique atténue les risques en matière de sécurité de l’information.
Les exigences de la clause 7.4 facilitent l’élaboration d’un plan de communication pour tous les événements. Toutefois, c’est la documentation du plan de communication qui prouve la conformité à cette clause et à la norme ISO 27001.
Fort heureusement, Protectam fournit un accompagnement complet aux organisations qui désirent mettre en place une stratégie de communication efficace au profit de leur SGSI et obtenir la certification ISO 27001.
Commentaires récents