P.I.L.O.T.E

3 min de lecture

Clause 9 – Évaluation des performances

9.1 Surveillance, mesure, analyse et évaluation

L’efficacité d’un SMSI repose sur des indicateurs mesurés régulièrement. La norme impose de définir, suivre et analyser des KPI pertinents, liés aux objectifs de sécurité fixés en Clause 6.

Exemples de KPI :

  • Taux de clics sur campagnes de phishing simulé (objectif : < 5 %).
  • Temps moyen de détection d’un incident (MTTD – Mean Time to Detect, objectif : < 1 heure).
  • Pourcentage de correctifs de sécurité critiques appliqués en moins de 30 jours (objectif : ≥ 95 %).
  • Taux de restauration réussie des sauvegardes testées (objectif : 100 %).

Ces KPI permettent de démontrer que le SMSI n’est pas théorique mais suivi dans le temps, avec des preuves factuelles.

Warning

Erreur fréquente : se contenter d’indicateurs de conformité (nombre de documents publiés). Les auditeurs attendent des KPI de sécurité mesurables et orientés résultats.

9.2 Audit interne

L’organisation doit réaliser des audits internes périodiques pour évaluer la conformité du SMSI aux exigences de la norme et aux procédures internes. Ces audits doivent être planifiés, réalisés par des personnes compétentes et donner lieu à des rapports documentés.

Les audits internes permettent d’identifier des écarts avant la certification et de démontrer une boucle d’amélioration continue.

Warning

Erreur fréquente : limiter l’audit interne à une simple checklist. Sans analyse critique ni plan d’action associé, il ne répond pas aux attentes des auditeurs ISO 27001.

9.3 Revue de direction

La revue de direction est un moment clé où la gouvernance évalue le SMSI à la lumière des indicateurs et des audits internes. Elle doit inclure :

  • L’évaluation des performances globales du SMSI.
  • L’examen des résultats des audits et des incidents de sécurité.
  • Les retours des parties prenantes (clients, régulateurs, employés).
  • Les décisions d’amélioration et d’allocation de ressources.

Cette revue est la preuve que la direction est impliquée au plus haut niveau et qu’elle pilote le SMSI de manière stratégique.

Warning

Erreur fréquente : organiser une revue de direction uniquement pour l’audit de certification. Les auditeurs vérifient la régularité et la profondeur des échanges (ordres du jour, décisions, suivis).

Cas concret historique

Exemple : Equifax (2017).
Le rapport post-crise a montré que des KPI essentiels n’étaient pas suivis (correctifs non appliqués à temps, absence de revue critique de la direction). L’absence d’évaluation sérieuse des performances a permis à une faille connue de persister, entraînant l’une des fuites de données les plus médiatisées de l’histoire.

Preuves d’audit typiques

  • Tableaux de bord de KPI (phishing, patching, détection incidents).
  • Rapports d’audit interne documentés.
  • Comptes-rendus de revues de direction avec décisions et suivis.
  • Historique de communication des KPI à la direction et aux métiers.

Objectifs pédagogiques

À l’issue de ce chapitre, l’apprenant doit être capable de :

  • Définir et suivre des KPI pertinents pour un SMSI.
  • Comprendre l’importance des audits internes dans l’amélioration continue.
  • Décrire le rôle de la revue de direction et son impact stratégique.
  • Tirer des enseignements de cas historiques où l’absence de KPI a conduit à des échecs majeurs.

Checklist RSSI

  • Définir un tableau de KPI opérationnels (phishing, patching, incidents).
  • Mettre en place un cycle d’audit interne régulier et documenté.
  • Organiser des revues de direction périodiques avec preuves de décisions.
  • Présenter les résultats aux parties prenantes clés.
  • Préparer les preuves pour l’audit de certification.

Vue Graphique