P.I.L.O.T.E

2 min de lecture

Clause 10 – Amélioration continue

10.1 Non-conformité et action corrective

L’ISO/IEC 27001 impose de gérer systématiquement les non-conformités identifiées lors des audits internes, externes ou à la suite d’incidents.
Chaque non-conformité doit être :

  1. Identifiée et documentée.
  2. Analysée pour en comprendre la cause.
  3. Corrigée par une action immédiate.
  4. Prévenue par une action corrective durable.

Ce processus transforme chaque écart en opportunité d’amélioration du SMSI.

Warning

Erreur fréquente : se contenter de corriger le symptôme (ex. réinstaller un serveur) sans adresser la cause profonde (patch management défaillant).

10.2 Amélioration continue

Le SMSI doit être continuellement amélioré à travers :

  • Les revues de direction, qui pilotent les décisions stratégiques et valident les évolutions nécessaires.
  • Les retours d’expérience après incident (post-mortem, REX), qui identifient les points forts et faiblesses de la réponse.
  • La mise à jour régulière des objectifs de sécurité et des indicateurs (voir Clause 9).

Une organisation mature ne se contente pas de corriger, elle apprend et capitalise pour renforcer sa résilience.

Warning

Erreur fréquente : traiter l’amélioration continue comme une exigence formelle (réunion annuelle). Sans preuve de changements concrets, les auditeurs considèrent le SMSI comme statique.

Cas concret historique

Exemple : WannaCry (2017).
De nombreuses organisations touchées avaient déjà été averties par Microsoft de la faille exploitée, mais n’avaient pas appliqué les correctifs. L’absence de mécanisme efficace de gestion des non-conformités (correctifs non appliqués = écart identifié mais pas corrigé) a transformé une vulnérabilité connue en crise mondiale.
Cet épisode illustre l’importance de traiter chaque non-conformité comme un signal critique et d’en tirer des leçons pour éviter sa répétition.

Preuves d’audit typiques

  • Registre des non-conformités avec suivi des actions correctives.
  • Rapports de post-mortem ou de retour d’expérience après incident.
  • Preuves de décisions de revues de direction intégrant des actions d’amélioration.
  • Historique de mise à jour des objectifs et indicateurs.

Objectifs pédagogiques

À l’issue de ce chapitre, l’apprenant doit être capable de :

  • Décrire le processus de gestion des non-conformités et actions correctives.
  • Expliquer le rôle des revues de direction dans l’amélioration continue.
  • Tirer des leçons d’incidents réels pour renforcer le SMSI.
  • Comprendre l’importance de l’amélioration continue pour maintenir la certification ISO 27001.

Checklist RSSI

  • Maintenir un registre des non-conformités et preuves de suivi.
  • Documenter systématiquement les actions correctives.
  • Intégrer les retours d’expérience après incident dans les comités SSI.
  • Vérifier que les revues de direction incluent des décisions d’amélioration.
  • Démontrer des preuves de progression continue lors des audits.

Vue Graphique