SMSI : Contrôler (Check)

Il s’agit de vérifier :

  • qu’il n’existe pas d’écart majeur entre ce que le SMSI définit et ce qui est mis en œuvre en pratique.
  • mais surtout que les mesures de sécurités qui couvrent les risques les plus critiques sont adaptés, efficaces et robustes.

Il ne faut pas se tromper de cible : il s’agit bien de vérifier que les risques principaux sont sous contrôle et non pas que le SMSI « ronronne »

Les moyens permettant ces contrôles sont multiples. Il s’agit des incidents de sécurité, des indicateurs de contrôle, des tableaux de bord Sécurité, des rapports d’audit internes, des enregistrements et non-conformité produit par le SMSI,  etc.

Les différentes solutions :

  • Le contrôle interne qui consiste à s’assurer en permanence que les processus fonctionnent normalement.
  • Les missions d’audit (interne ou externe) qui vont vérifier que les mesures de sécurité (évidemment en priorité celles qui couvrent les risques les plus graves) sont :
    • efficaces : capable d’assurer sa fonction dans des circonstances plus ou moins courantes et face à des acteurs ayant des compétences plusn ou moins grandes
    • robustes : mesure sa capacité à résister à une action visant à la court-circuiter ou à l’inhiber.
    • sous contrôle : toute interruption du fonctionnement est détecté et que des actions palliatives sont alors décidées. La qualité de ce paramètre dépend donc de la capacité et de la rapidité de détection et des moyens de réaction.

Les plans de contrôle sur le SMSI lui même (est-il vivant, la Direction est-elle toujours sensibilisée ..) doivent également être menés : souvent au travers qui garantissent l’adéquation du SMSI avec son environnement

Conditions de réussite cette phase de contrôle

La première condition de succès réside dans le fait que les principes et périmètres de contrôle interne aient été réfléchis et définis dans la phase précédente avec les équipes chargées de concevoir les mesures de sécurité. Il est

Mais il faut être conscient qu’il est souvent beaucoup plus facile de définir des contrôles et indicateurs inutiles (de type nombre d’attaques virales repoussées, …) sur des mesures de sécurité qui ne touchent pas des scénarios d’incident critique que d’établir des contrôles et indicateurs qui touchent des scénarios d’incident critiques.

Conditions d’échec (relatif) de cette phase de contrôle

On voit beaucoup d’entreprises contrôler surtout que leur SMSI fonctionne … en théorie. C’est à dire qu’il y a des revues de Direction , que la vérification que les processus fonctionnent, sans se poser véritablement de l’efficacité des mesures de sécurité

Mais même si le SMSI suit bien les différentes étapes, il ne faut pas oublier que c’est l’ensemble des mesures de sécurité définies et mises en œuvre qui va assurer une protection adéquate de l’entreprise : certaines sociétés ont malheureusement tendance à l’occulter.

COPYRIGHT YSOSECURE © 2002 - 2021