40
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
4- Phase Check La phase « Check » du PDCA concerne les moyens de contrôle à mettre en place pour assurer «l’efficacité » du SMSI et sa « conformité » au cahier des charges de la norme ISO/CEI 27001. Pour répondre à ces deux exigences de la norme, les organismes emploient le contrôle et les audits internes ainsi que les revues de direction. 4.1- Les audits internes L’audit interne peut s’organiser avec le personnel de l’organisme ou être sous-traité à un cabinet conseil. Si l’audit est confié à un collaborateur, il ne faut pas que ce dernier puisse auditer un processus dans lequel il est impliqué au niveau de sa mise en œuvre ou de son exploitation. L’audit a pour but de contrôler la conformité et l’efficacité du SMSI en recherchant les écarts entre la documentation du système (enregistrement, procédures, etc.) et les activités de l’organisme. La norme exige que la méthode utilisée pour l’audit soit documentée dans une procédure et que les rapports soient enregistrés pour être utilisés lors des revues de direction. 4.2- Les contrôles internes L’objectif du contrôle interne est de s’assurer au quotidien que les collaborateurs appliquent correctement leurs procédures. Contrairement à l’audit interne qui est planifié longtemps à l’avance, les contrôles internes sont inopinés. 4.3- Revues de direction La revue est une réunion annuelle qui permet aux dirigeants de l’organisme d’analyser les événements qui se sont déroulés sur l’année en cours. Les points passés en revue sont généralement : les résultats des audits, le retour des parties prenantes, l’état des lieux sur les actions préventives et correctives, les menaces mal appréhendées lors de l’appréciation des risques, l’interprétation des indicateurs et les changements survenus dans l’organisme. A partir de ces informations la direction peut fixer de nouveaux objectifs et allouer de nouvelles ressources (financières, humaines et matérielles). Les contrôles de la phase « Check » peuvent faire apparaître des dysfonctionnements du SMSI. Cela peut être un écart entre les exigences de la norme et le système de management ou des mesures de sécurité inefficaces. C’est dans la phase « Act » du PDCA que l’on réduit les dysfonctionnements par des actions correctives, préventives ou d’améliorations.