Il s’agit de vérifier :
Il ne faut pas se tromper de cible : il s’agit bien de vérifier que les risques principaux sont sous contrôle et non pas que le SMSI « ronronne »
Les moyens permettant ces contrôles sont multiples. Il s’agit des incidents de sécurité, des indicateurs de contrôle, des tableaux de bord Sécurité, des rapports d’audit internes, des enregistrements et non-conformité produit par le SMSI, etc.
Les différentes solutions :
Les plans de contrôle sur le SMSI lui même (est-il vivant, la Direction est-elle toujours sensibilisée ..) doivent également être menés : souvent au travers qui garantissent l’adéquation du SMSI avec son environnement
La première condition de succès réside dans le fait que les principes et périmètres de contrôle interne aient été réfléchis et définis dans la phase précédente avec les équipes chargées de concevoir les mesures de sécurité. Il est
Mais il faut être conscient qu’il est souvent beaucoup plus facile de définir des contrôles et indicateurs inutiles (de type nombre d’attaques virales repoussées, …) sur des mesures de sécurité qui ne touchent pas des scénarios d’incident critique que d’établir des contrôles et indicateurs qui touchent des scénarios d’incident critiques.
On voit beaucoup d’entreprises contrôler surtout que leur SMSI fonctionne … en théorie. C’est à dire qu’il y a des revues de Direction , que la vérification que les processus fonctionnent, sans se poser véritablement de l’efficacité des mesures de sécurité
Mais même si le SMSI suit bien les différentes étapes, il ne faut pas oublier que c’est l’ensemble des mesures de sécurité définies et mises en œuvre qui va assurer une protection adéquate de l’entreprise : certaines sociétés ont malheureusement tendance à l’occulter.