La sécurité de l’information est l’un des plus grands défis des organisations en ce siècle. Ces dernières possèdent des données personnelles sur leurs clients et détiennent des informations sensibles sur leurs opérations commerciales. Face à l’augmentation des cybercrimes, les organisations ont des difficultés à protéger ces informations sensibles et vulnérables. L’incapacité à protéger ces actifs peut avoir de graves conséquences pour les organisations et les conduire à la faillite. Pour se mettre à l’abri, la plupart d’entre elles se tournent vers l’obtention de la certification ISO 27001 et se dotent d’un Système de Management de Sécurité Informationnelle (SMSI). La clause 9.1 aborde les exigences de cette norme pour surveiller et mesurer le fonctionnement du SMSI. Elle traite aussi de l’analyse et de l’évaluation des données recueillies sur le fonctionnement du système. Dans cet article, nous découvrons ensemble comment réaliser ces différentes opérations conformément à la clause 9.1.
Table des matières
Aperçu de la clause 9.1 de l’ISO 27001
La clause 9.1 est un élément clé pour la conformité à la norme ISO 27001 et elle présente deux volets. Le premier volet est la surveillance et la mesure du SMSI. Le deuxième volet de la clause 9.1 porte sur l’analyse et l’évaluation du SMSI. Cette clause aide les organisations à évaluer régulièrement leur performance par rapport aux objectifs de l’ISO dans le but de s’améliorer continuellement. 
Source : ytimg La surveillance et la mesure permettent aux organisations de vérifier si le résultat attendu en matière de sécurité de l’information est atteint. Pour cela, les organisations doivent examiner l’ensemble du SMSI. Il s’agit :
- Des travaux effectués au niveau des clauses 4.1, 4.2 et 4.3 pour identifier les problèmes, les parties prenantes ainsi que du champ d’application ;
- De mettre en évidence l’identification, l’évaluation et le traitement conformément aux exigences de la clause 6.1 ;
- De documenter les objectifs du SMSI selon la clause 6.2 tout en incluant les processus de mesure, de surveillance, la fréquence, la gestion des sources et les preuves.
Les exigences de la clause 9.1 de l’ISO 27001 pour la surveillance et la mesure
Pour commencer, rappelons qu’il existe une différence entre ces deux concepts. Surveiller quelque chose revient à l’observer pour connaître son état. Elle permet de remarquer plus rapidement lorsque les choses commencent à changer et deviennent différentes de ce qui était prévu. En ce qui concerne la mesure, elle consiste à attribuer une valeur à quelque chose sur la base d’unités prédéfinies. Elle est beaucoup plus complexe que la surveillance et fournit des données détaillées sur les choses ainsi que la manière dont elles doivent être traitées. 
Source : amazonaws Quant aux exigences de la norme pour ces deux concepts, les organisations doivent :
- Déterminer ce qu’il faut surveiller et mesurer ;
- Déterminer les méthodes de surveillance et de mesure à utiliser pour produire des résultats comparables et reproductibles, c’est-à-dire valides ;
- Déterminer quand la surveillance et les mesures doivent être effectuées ;
- Déterminer les personnes qui sont chargées de la surveillance et des mesures ;
- Conservé sous forme de documentation les preuves qui prouvent que les surveillances et les mesures sont faites afin d’avoir un historique de ces opérations. La conservation des preuves permet de suivre les résultats pour tirer des leçons des erreurs du passé.
Source : quality Pour apporter une valeur ajoutée aux organisations, les résultats de la surveillance et de la mesure doivent être pris en compte dans les décisions et les actions au moment opportun. Cependant, les considérer trop tôt ou trop tard peut entraîner des gaspillages de ressources ou la perte d’opportunités. C’est pourquoi il faut d’abord les analyser et les évaluer.
Les exigences de la clause 9.1 de l’ISO 27001 pour l’analyse et l’évaluation
Afin de pouvoir analyser les informations issues des étapes précédentes, les organisations doivent établir :
- Les personnes chargées de l’analyse et de l’évaluation des résultats. Vous allez découvrir de plus amples informations sur les rôles et les responsabilités dans la clause 7.2 ;
- Quand faire l’analyse et l’évaluation ?
- Quelles sont les méthodes à utiliser pour ces deux opérations afin de produire des résultats valides ?
Pour effectuer l’évaluation, les organisations vérifient généralement deux aspects à savoir : la performance et l’efficacité. La vérification de la performance du SMSI permet de déterminer si l’organisation fait ce qui est nécessaire. Ceci implique la détermination de la façon dont les processus au sein du SMSI répondent à leurs spécifications. Quant à la vérification de l’efficacité du SMSI, elle permet de déterminer si l’organisation fait ce qu’il faut. 
Source : webflow Ceci implique de déterminer dans quelle mesure les objectifs de sécurité de l’information sont atteints. Les deux aspects sont toutefois nettement distincts l’un de l’autre. La performance traite des résultats de sécurité de l’information de manière individuelle. Elle peut concerner la disponibilité de l’information, son intégrité ou sa confidentialité. L’efficacité par contre montre la manière dont l’interaction entre les différents résultats affecte la sécurité de l’information dans son ensemble.
Source : pyx4 Par conséquent, en absence de surveillance et de mesure appropriées, les organisations peuvent se retrouver avec de bons résultats individuels en matière de sécurité. Ces résultats peuvent par contre ne pas apporter réellement de valeur ajoutée ou ne satisfont pas les exigences de la norme.
Clause 9.1 de la norme ISO 27001 — Les attributs à surveiller et à mesurer
Il existe plusieurs manières de surveiller le SMSI. Lorsque les organisations identifient un risque, elles doivent établir un lien entre ce dernier et les contrôles ainsi que le processus à surveiller. Par exemple, si certains contrôles de sécurité sont nécessaires pour atténuer un risque important, il est dans l’intérêt de l’organisation de surveiller étroitement la performance de ces différents contrôles. Mais lorsque le risque n’est pas élevé, elle peut choisir de ne pas surveiller ces contrôles. En ce qui concerne le choix des attributs, il revient aux organisations de déterminer ceux qui sont les plus importants et les procédures liées à chacun d’eux. Lorsqu’ils sont nombreux ou mal choisis, ils deviennent moins pratiques et contre-productifs. En général, les mesures se répartissent en deux catégories : celles de la performance et celles de l’efficacité. La première concerne souvent les effectifs ou le degré de mise en œuvre des contrôles de sécurité des informations qui illustrent les résultats prévus. 
Source : businesscentrictechnology Les mesures de l’efficacité sont celles qui quantifient les objectifs de sécurité de l’organisation en fonction des actions entreprises prises pour les atteindre et les autres composants du SMSI. Pour ce qui est de la collecte des données, un calendrier annuel de la sécurité permet d’assurer la collecte et d’avoir le rapport des mesures en temps voulu. Ceci permet d’accumuler des données au fil des années sur la sécurité de l’information et le fonctionnement des contrôles. La stratégie fréquemment utilisée pour sélectionner les attributs à mesurer est de les choisir en fonction du niveau de risque. Plus un attribut contribue à l’atténuation des risques, plus il faut se concentrer sur la définition d’une mesure appropriée.
Les non-conformités à la norme ISO 27001 liées aux exigences de la clause 9.1 ?
Dans le processus de l’obtention de la certification ISO 27001, les non-conformités relèvent souvent du non-respect des exigences de la clause 9.1. En effet, les exigences de cette clause ne sont pas remplies lorsqu’il y a absence des preuves des actions entreprises. Certaines organisations ne définissent pas correctement les processus de mesure et il n’est pas rare de les voir utiliser des indicateurs de mesure (KPI) inappropriés. Cela peut résulter du fait que les objectifs de sécurité de l’information ne sont pas entièrement définis. 
Source : citadel Dans ce cas, il est assez difficile de mesurer les progrès accomplis en vue de satisfaire les exigences de la norme ISO 27001. Le non-respect des exigences de la clause 9.1 provient parfois du fait que les organisations définissent la mesure de la performance du SMSI, mais ne font pas autant pour les contrôles.
Comment éviter les non-conformités à la norme ISO 27001 liées à la clause 9.1 ?
La clause 9.1 est basée sur le fonctionnement du SMSI et reste à cet effet, une clause clé de la norme ISO 27001. Pour obtenir la certification de cette norme, vous devez absolument chercher à remplir toutes les exigences de cette clause. Faire appel à un spécialiste de la norme est une solution à portée de main qui vous fera gagner du temps, mais surtout en efficacité. Chez Protectam, nous développons des solutions adaptées à toutes les tailles d’organisations. 
Nous proposons un accompagnement à toutes les organisations qui cherchent à obtenir au premier coup la norme ISO sur la sécurité de l’information. Nous travaillons en collaboration avec des experts en cybersécurité qui vous aident à mettre en place des processus pratiques pour surveiller et mesurer le fonctionnement de votre SMSI.
Conclusion
En résumé, la clause 9.1 fournit des exigences sur la surveillance, la mesure, l’analyse et l’évaluation des SMSI des organisations afin de s’assurer qu’elles sont efficaces et performantes. Pour cela, les organisations doivent déterminer :
- Ce qui doit être surveillé et mesuré, y compris les processus et les contrôles ;
- Les processus de suivi, de mesure, d’analyse et d’évaluation, afin d’aboutir à des résultats valides ;
- Quand la surveillance aura lieu ;
- Qui effectue ces activités ;
- Quand les résultats seront analysés ;
- Qui doit s’en charger.
Tous ces éléments doivent être déterminés et documentés conformément à la clause 9.1 pour remplir les exigences de la norme. Protectam vous aide non seulement à établir avec soin ces éléments, mais également dans l’ensemble des procédures pour obtenir la certification ISO 27001.
Commentaires récents