.png)
Les audits et les non-conformités constatées sont des éléments cruciaux de la gestion de la sécurité de l'information. Les audits et les non-conformités poussent les organisations à l'amélioration continue, faisant de la sécurité un processus vivant et évolutif plutôt qu'un exercice de cases à cocher.
Les audits vous aident à identifier les faiblesses avant qu'elles ne deviennent des incidents et à suivre vos progrès en matière de sécurité au fil du temps. Les non-conformités offrent une opportunité d'apprentissage et de croissance et favorisent une culture de la responsabilité. Les organisations qui acceptent les audits les considèrent comme un outil d'amélioration plutôt que comme une punition.
Les audits de sécurité de l'information sont des évaluations systématiques de la sécurité de l'information de l'organisation. Les audits visent à s'assurer que l'organisation opère effectivement conformément aux exigences fixées ou aux meilleures pratiques choisies pour protéger ses actifs informationnels.
Les objectifs d'un audit de la sécurité de l'information sont généralement les suivants
%201.png)
Les audits peuvent être réalisés en interne par des employés compétents et habilités (audit interne) ou en externe par des partenaires indépendants choisis (audit externe).
Certains audits sont réalisés principalement du point de vue de la conformité (audits de conformité) et d'autres d'un point de vue plus technique (audits techniques), en se concentrant par exemple sur des systèmes de données ou des sujets spécifiques (par exemple, la sécurité des réseaux, la sécurité des applications).
"L'échec d'un audit de sécurité peut signifier que l'organisation n'a pas satisfait à toutes les exigences de la norme au moment de l'audit, et que des non-conformités ont donc été identifiées.
Ensuite, l'organisation aura la possibilité de traiter les non-conformités par des actions correctives. Il s'agit d'élaborer un plan d'actions correctives et de mettre en œuvre ces corrections. Lors des audits de certification, les corrections apportées aux non-conformités majeures doivent être vérifiées par l'auditeur. Pour les non-conformités mineures, il suffit de vérifier le plan d'action corrective.
Il est important de comprendre qu'il n'y a pas d'échec dans le processus d'audit. L'auditeur vous aidera à identifier les non-conformités et les autres possibilités d'amélioration. Même si des non-conformités sont détectées (ce qui est tout à fait normal), vous disposerez d'une liste claire des tâches à accomplir pour améliorer votre sécurité de l'information.
📌 S ection connexe de l'ISO 27001: 6.1.2 - Évaluation des risques liés à la sécurité de l'information
🔍 Qu'est-ce qui manque ? Les organisations peuvent ne pas fournir une procédure de gestion des risques clairement définie, selon laquelle la gestion des risques liés à la sécurité de l'information est mise en œuvre. Cette procédure devrait comprendre, par exemple, les critères d'évaluation des risques utilisés et la manière dont les actions de traitement sont définies et contrôlées. La procédure doit également expliquer à quelle fréquence et à quel endroit la gestion des risques est mise en œuvre.
💡 Comment y remédier? Mettre en place un processus structuré de gestion des risques (souvent soutenu par une appli ISMS). Disposer d'un rapport de base "Procédure de gestion des risques" qui explique toutes les étapes clés et qui est mis à jour de manière contrôlée. Assurer des examens et des ateliers réguliers sur la gestion des risques liés à la sécurité de l'information, au moins une fois par trimestre ou lorsque des changements ou des besoins importants se font sentir.
📌 S ection connexe de l'ISO 27001: 6.1.3 - Traitement des risques liés à la sécurité de l'information.
🔍 Qu'est-ce qui manque ? L'organisation a identifié les risques mais ne dispose pas de suffisamment d'éléments pour démontrer comment ces risques sont atténués. Les plans de traitement des risques sont vagues et ne comportent pas d'actions concrètes, d'échéances ou de personnes responsables, ce qui rend difficile le suivi des progrès réalisés. Les organisations s'appuient sur des assurances verbales ou des documents périmés au lieu de tenir des registres vérifiables de la mise en œuvre des traitements.
💡 Comment y remédier ? Les risques dont le traitement est prioritaire doivent faire l'objet d'un plan de traitement des risques clair, comprenant l'option de traitement choisie (accepter, atténuer, transférer ou éviter), des mesures de protection spécifiques pour atténuer le risque (liées à l'annexe A de la norme ISO 27001, le cas échéant), des personnes responsables et des dates d'échéance. La preuve de la mise en œuvre doit être générée dans votre SMSI.
⭐ Extra : Utiliser un outil ISMS intégré pour s'assurer que les évaluations et le traitement des risques sont effectués et suivis au même endroit que les mesures de sécurité de l'information, afin de garantir la visibilité de l'évolution du traitement des risques.
📌 S ection connexe de la norme ISO 27001: 9.2 - Audit interne & 9.3 - Revue de direction
🔍 Qu'est-ce qui manque? Aucun audit interne n'a été mis en œuvre au cours des 12 derniers mois, ou les audits réalisés n'ont pas fait l'objet d'un enregistrement clair des résultats. L'encadrement supérieur n'a pas participé à une revue de direction au cours des 12 derniers mois, ou bien il n'y a pas de résultats de revue à présenter.
💡 Comment y remédier ? Programmer des audits internes annuels et tenir à jour des rapports sur les constatations et les corrections. Effectuer des revues de direction pour évaluer l'efficacité du SMSI et tenir à jour des rapports sur les résultats.
📌 S ection connexe de l'ISO 27001: 6.1.3 (d) - Déclaration d'applicabilité
🔍 Qu'est-ce qui manque? La déclaration d'applicabilité (SoA) est incomplète, obsolète ou mal documentée, ce qui rend difficile la démonstration de la conformité aux exigences de la norme ISO 27001. L'organisme peut ne pas justifier pourquoi certains contrôles de l'annexe A sont inclus ou exclus. La mise en œuvre des contrôles n'est pas clairement expliquée et n'est pas liée aux risques. Le document n'est pas révisé régulièrement, ce qui entraîne un décalage, par exemple avec les changements organisationnels ou les nouvelles menaces pour la sécurité.
💡 Comment y remédier? Veiller à ce que la SdA énumère clairement tous les contrôles de l'annexe A, en indiquant que la plupart d'entre eux sont applicables et que les autres ne le sont pas, avec des justifications solides. Veiller à ce que la SdA explique clairement la mise en œuvre des contrôles applicables, preuves à l'appui. Réviser et mettre à jour régulièrement la SdA et maintenir des références croisées entre la SdA, le plan de traitement des risques et toutes les autres parties du SMSI afin de démontrer la cohésion du SMSI. Veiller à ce que la SdA soit accessible aux auditeurs et aux parties prenantes concernées, avec un format bien structuré pour faciliter la compréhension.
⭐ Extra : Dans Cyberday, la SdA est créée et suivie automatiquement par le biais des tâches de votre SMSI qui sont liées aux exigences pertinentes de l'ISO 27001 / ISO 27002.¨
📌 S ection connexe de la norme ISO 27001: 9.1 - Surveillance, mesure, analyse et évaluation
🔍 Qu'est-ce qui manque? Aucune mesure clé définie (alias KPI) pour mesurer l'efficacité du SMSI. Dans cette situation, les performances en matière de sécurité ne sont pas quantifiées, ce qui rend difficile pour la direction d'évaluer la posture de sécurité ou d'identifier les tendances. Les organisations s'appuient sur des intuitions sans surveillance de la sécurité en temps réel ni analyse des tendances en matière d'incidents. En général, cette situation affaiblit également la communication régulière des performances du SMSI à la direction générale (par exemple, lors des revues de direction), ce qui entraîne un manque de visibilité et d'engagement.
💡 Comment y remédier ? Définir des objectifs et des mesures de sécurité mesurables. Il peut s'agir, par exemple, d'incidents de sécurité par trimestre, du score de conformité du SMSI, du pourcentage d'employés ayant suivi une formation de sensibilisation à la sécurité, du nombre de non-conformités résolues dans un délai donné, du nombre de vulnérabilités non corrigées dépassant les accords de niveau de service (SLA) définis. Procéder à des examens réguliers des performances du SMSI (par exemple, tous les trimestres) avec la participation de la direction générale. Aligner les mesures de sécurité sur les objectifs de l'entreprise, tels que la réduction des pertes financières dues aux cyberincidents ou l'amélioration de la conformité aux réglementations.
⭐ Extra : Mettre en place des tableaux de bord de sécurité automatisés qui suivent les mesures de performance en temps réel. Utilisez l'analyse des tendances pour traiter de manière proactive les faiblesses avant qu'elles ne deviennent des problèmes critiques...
📌 S ection connexe de l'ISO 27001: 5.23 - Gestion des incidents de sécurité de l'information
🔍 Ce qui manque.. : Pas de processus formalisé de réponse aux incidents, ce qui entraîne un traitement incohérent, tardif et peu clair des incidents de sécurité. Les employés ne savent pas comment signaler les incidents de sécurité, ce qui augmente le risque de brèches passées inaperçues. La documentation relative aux incidents antérieurs n'est pas correctement conservée, ce qui rend difficile l'analyse des incidents passés et l'amélioration des stratégies de réponse. L'absence de responsabilités claires ou de processus d'escalade entraîne une certaine confusion dans le traitement des incidents.
💡 Comment y remédier? Mettre en place un système centralisé de signalement des incidents, en veillant à ce que les employés puissent facilement signaler les incidents de sécurité (par exemple, hameçonnage, logiciels malveillants, accès non autorisé). Conservez une documentation sur les incidents antérieurs, en particulier sur les mesures prises pour limiter les incidents similaires à l'avenir. Attribuer des rôles de réponse aux incidents avec des responsabilités définies (par exemple, responsable des incidents, responsable technique, responsable de la communication) et créer des plans de réponse aux incidents clairs pour les incidents couramment attendus ou les incidents extrêmement défavorables. Mettre en œuvre un processus d'escalade pour s'assurer que les incidents graves sont rapidement signalés à la direction et aux régulateurs externes, le cas échéant.
⭐ Extra : Organisez régulièrement des exercices de réponse aux incidents, y compris des exercices sur table et des simulations réelles telles que des tests de phishing.
📌 S ection connexe de l'ISO 27001: A : 8.2 - Gestion des identités et des accès
🔍 Ce qui manque.. : Les employés ont plus d'accès aux données et aux systèmes que nécessaire, ce qui augmente le risque de menaces internes et de violations de données. Les droits d'accès ne sont pas revus périodiquement, ce qui fait que, par exemple, d'anciens employés ont toujours accès à des systèmes sensibles dont ils n'ont pas besoin. L'accès à l'information est accordé de manière incohérente au lieu d'utiliser des rôles standardisés et les principes du moindre privilège. Aucun processus formel d'approbation, de modification ou de révocation de l'accès n'est mis en place, ce qui ne permet pas de savoir qui peut autoriser les changements. L'enregistrement et la surveillance des activités d'accès sont faibles ou inexistants, ce qui rend difficile la détection des accès non autorisés ou des incidents de sécurité potentiels.
💡 Comment y remédier? Mettez en place un contrôle d'accès basé sur les rôles (RBAC) et suivez le principe du moindre privilège pour vous assurer que les utilisateurs n'ont que l'accès minimum nécessaire à leurs fonctions. Communiquez ces bonnes pratiques à tous les employés, afin qu'ils puissent également identifier les cas de non-conformité. Procéder à des examens réguliers de l'accès (par exemple, tous les trimestres par les propriétaires d'actifs) pour vérifier que les droits d'accès correspondent aux rôles professionnels et que les accès superflus sont supprimés. Établir un processus clair d'approbation et de révocation pour l'octroi et la suppression de l'accès, en veillant à ce que les responsables et les équipes de sécurité supervisent les changements. Mettre en place une authentification multifactorielle (MFA) pour tous les systèmes critiques, afin de réduire le risque d'accès non autorisé.
⭐ Extra : Automatisez la gestion du contrôle d'accès avec des solutions de gestion des identités et des accès (IAM) pour rationaliser le provisionnement, le suivi et le déprovisionnement. Maintenez des journaux d'accès détaillés et configurez des alertes pour les activités suspectes, telles que les tentatives de connexion échouées ou l'escalade des privilèges....
📌 S ection connexe de l'ISO 27001: A.5.19 - Gestion des relations avec les fournisseurs
🔍 Ce qui manque.. : Une catégorisation peu claire des fournisseurs en fonction de la priorité et de l'assurance de sécurité requise (par exemple, certification, questionnaire, audit, aucune). Pas d'accords de sécurité formels avec les fournisseurs, laissant l'organisation vulnérable aux attaques de la chaîne d'approvisionnement. Absence d'obligations contractuelles garantissant que les fournisseurs importants respectent les normes ISO 27001, CIS18 ou d'autres bonnes pratiques. Absence de processus d'abandon des relations avec les fournisseurs, entraînant des risques tels que des comptes orphelins, des autorisations d'accès persistantes ou des transferts de données non gérés.
💡 Comment y remédier? Classez vos fournisseurs par ordre de priorité (par exemple, en fonction de leur lien avec vos services, de la sensibilité des données qu'ils traitent et de leur capacité à être remplacés) et en fonction de votre pouvoir de négociation. Établissez des critères de sécurité clairs pour les fournisseurs importants, en exigeant par exemple des certifications, des rapports de conformité, des audits indépendants ou des questionnaires de sécurité remplis comme preuve de sécurité. Inclure des clauses de sécurité dans les contrats, afin de garantir le respect des exigences légales et réglementaires.
📌 S ection connexe de l'ISO 27001: A.6.3 - Sensibilisation, éducation et formation
🔍 Qu'est-ce qui manque ? Les responsabilités des employés en matière d'information et de cybersécurité ne sont pas claires. Les employés ne reçoivent pas systématiquement une formation de sensibilisation à la sécurité, ce qui les rend vulnérables aux attaques de phishing, aux pratiques de mots de passe faibles et à l'ingénierie sociale. Il n'existe pas de programme de formation structuré, ou la formation est dispensée de manière incohérente, sans suivi de la participation des employés. Les organisations ne mettent pas à jour le contenu de la formation en fonction des nouvelles menaces, des changements de réglementation ou des incidents de sécurité passés.
💡 Comment y remédier ? Faire en sorte que les responsabilités des employés en matière de sécurité soient claires comme de l'eau de roche. Il peut s'agir par exemple d'accepter régulièrement les directives de sécurité écrites et de les respecter dans le cadre du travail quotidien. Mettez en place un programme de sensibilisation à la sécurité couvrant des sujets clés tels que l'hameçonnage, la sécurité des mots de passe, le travail à distance sécurisé et le signalement des incidents. Suivre à la fois l'acceptation des lignes directrices et la participation aux formations et tenir des registres. Organisez régulièrement des cours de recyclage et mettez à jour le contenu en fonction des dernières menaces, des exigences de conformité et des incidents réels.
⭐ Extra : Utilisez des méthodes de formation interactives, telles que les simulations de phishing, l'apprentissage gamifié et les quiz, pour garantir l'engagement et la rétention des connaissances.
📌 S ection connexe de l'ISO 27001: A.8.1.1 - Inventaire des actifs
🔍 Qu'est-ce qui manque? Les organisations ne disposent pas d'un inventaire complet et actualisé des actifs informationnels, ce qui entraîne une mauvaise visibilité et des risques accrus en matière de sécurité. Il n'y a pas d'attribution claire de la propriété, ce qui ne permet pas de savoir qui est responsable de la gestion, de la documentation et de la protection de chaque actif. L'inventaire des actifs n'est pas revu régulièrement, ce qui entraîne des enregistrements obsolètes ou incorrects. Pas de classification des actifs en fonction de leur sensibilité, de leur criticité ou des exigences réglementaires.
💡 Comment y remédier? Mettre en place un système centralisé de gestion des actifs qui inclut les actifs logiciels, les actifs matériels, les actifs informationnels (données, bases de données, documents), les actifs physiques et les actifs humains. Attribuer un propriétaire à chaque actif, responsable de sa sécurité, de sa maintenance et de sa mise au rebut. Classer les actifs en fonction de leur priorité ou de manière plus détaillée selon la triade de la CIA. Procéder à des examens réguliers pour s'assurer que les dossiers sont exacts et à jour.
⭐ Extra : Mettre en place un outil automatisé de découverte des actifs pour détecter et suivre les nouveaux actifs.
📌 S ection connexe de l'ISO 27001: A.18.1.1 - Identification de la législation et des dispositions contractuelles applicables.
🔍 Qu'est-ce qui manque ? Les organisations ne parviennent pas à identifier, documenter et respecter systématiquement les exigences légales, réglementaires et contractuelles.
💡 Comment y remédier? Tenir un registre juridique, répertoriant les autres exigences légales ou contractuelles pertinentes en matière de sécurité de l'information. Mettre à jour cette liste régulièrement.
Nous avons donc passé en revue les non-conformités les plus courantes lors des audits ISO 27001. Celles-ci découlent souvent de lacunes dans la documentation, d'une mise en œuvre incohérente et d'un manque de contrôle. Il ne s'agit toutefois que d'exemples courants, car le programme de sécurité de l'information de chaque organisation devient de plus en plus unique, en particulier au fur et à mesure que le niveau de maturité augmente.
Mais comme nous l'avons déjà dit au début, les non-conformités offrent une opportunité d'apprentissage et de croissance. Ils ne doivent pas être considérés comme des éléments purement négatifs.
Votre programme de sécurité de l'information est un processus d'amélioration continue, qui est actualisé par les mises à jour technologiques de votre environnement, les changements dans la mise en œuvre de certaines politiques, le traitement des risques ou des incidents, ou par toute autre erreur ou changement. Un SMSI bien entretenu, avec des audits et des mises à jour réguliers, est la clé pour passer sans encombre les audits ISO 27001 et maintenir votre conformité. 🚀
