P.I.L.O.T.E

3 min de lecture

Surveillance et revue du SMSI

Introduction

La surveillance et la revue constituent les fondements de l’amélioration continue d’un SMSI.
Elles permettent de vérifier que les mesures mises en place restent efficaces, pertinentes et alignées avec l’évolution des risques, des menaces et du contexte organisationnel.

L’audit ISO/IEC 27001 s’appuie fortement sur ces éléments : sans preuves tangibles de suivi et de revue, le SMSI est considéré comme statique et inefficace.

Étapes clés de la surveillance et de la revue

1. Surveillance opérationnelle

  • Explication : Suivi régulier des indicateurs clés de performance (KPI) liés à la SSI : taux de patching <30 jours, incidents détectés, tests de restauration, taux de clic phishing, etc.
  • Exemple concret : Une banque surveille en temps réel son taux de disponibilité (≥ 99,9 %) et la rapidité de détection des incidents (MTTD < 1h).
  • Preuves d’audit : tableaux de bord, rapports de monitoring, KPI validés par le COMEX.

Warning

Erreur fréquente : collecter des indicateurs techniques sans analyse ni communication à la direction.

2. Audit interne

  • Explication : Réalisé au moins une fois par an, l’audit interne vérifie la conformité du SMSI aux exigences ISO/IEC 27001 et aux procédures internes.
  • Exemple concret : Une ESN organise un audit interne couvrant la gestion des accès et la conformité RGPD.
  • Preuves d’audit : rapports d’audit interne, plans correctifs.

Warning

Erreur fréquente : audit interne superficiel, limité à une simple checklist.

3. Revue de direction

  • Explication : Moment stratégique où la direction évalue le SMSI : résultats des audits, incidents majeurs, suivi des KPI, besoins en ressources.
  • Exemple concret : Une société d’assurance organise une revue annuelle où le COMEX valide de nouvelles mesures face aux cybermenaces émergentes.
  • Preuves d’audit : procès-verbaux de réunions, décisions validées, budgets alloués.

Warning

Erreur fréquente : revue formelle sans preuves de décisions suivies.

4. Audit de certification externe

L’audit de certification se déroule en deux phases distinctes :

  • Stage 1 – Revue documentaire : l’auditeur examine le périmètre, la politique SSI, le SoA et l’ensemble des preuves documentées (procédures, logs, rapports).
  • Stage 2 – Évaluation pratique : l’auditeur vérifie sur le terrain l’application concrète des mesures et la maturité du SMSI.

Un échec au Stage 1 (documents incomplets) retarde la certification, tandis qu’un échec au Stage 2 (mesures non appliquées) entraîne un refus.

Tip

Préparer un SoA clair et des preuves documentées (procédures, journaux, rapports d’incidents) est essentiel pour réussir les deux phases.

Cas pratiques & retours d’expérience

  • OVH (2021, incendie Strasbourg) : l’absence de revue critique des PRA a révélé une surveillance insuffisante → impact majeur sur la continuité.
  • Hôpitaux français (2020-2021) : audits internes superficiels, absence de reporting clair au COMEX → échecs répétés dans la préparation aux cyberattaques.

Conseils opérationnels pour RSSI

  • Organiser des audits internes rigoureux, pas uniquement formels.
  • Communiquer les résultats de la surveillance et des audits à la direction.
  • Documenter toutes les preuves (SoA, logs, PV de réunions).
  • Préparer activement les deux étapes de l’audit externe (Stage 1 et Stage 2).

Objectifs pédagogiques

À l’issue de ce chapitre, l’apprenant doit être capable de :

  • Comprendre l’importance des mécanismes de surveillance et revue dans un SMSI.
  • Différencier les étapes Stage 1 et Stage 2 de l’audit de certification.
  • Identifier les erreurs fréquentes et les éviter.
  • Mettre en place un processus de surveillance et revue orienté amélioration continue.

Checklist RSSI

  • Définir et suivre des KPI SSI pertinents.
  • Réaliser un audit interne annuel et documenté.
  • Organiser une revue de direction avec preuves de décisions.
  • Préparer un SoA clair et documenté.
  • Anticiper les deux étapes de l’audit de certification.

Vue Graphique