Other sectors

Aperçu de l'audit des systèmes de management de la sécurité de l'information

Digital-Key-insights-banner-article-4_Lumina.png

Cette section analyse les données de 2018 sur les audits des systèmes de management de la sécurité de l'information selon la norme ISO/IEC 27001 par les entreprises certifiées DNV. En analysant quantitativement et qualitativement les données, elle donne un aperçu de la performance agrégée des systèmes de management des entreprises.

L'objectif est de fournir un aperçu ciblé des domaines de processus, des sous-processus ou des activités qui causent le plus de problèmes dans les organisations qui cherchent à atteindre et/ou à maintenir la certification à une norme de système de management de la sécurité de l'information. Les résultats sont issus de l'analyse des audits menés dans le monde entier par DNV auprès de plus de 1 700 entreprises certifiées ISO/IEC 27001.

Lumina data Insights Viewpoint ISP
Distribution of findings – Overview (ISO/IEC 27001:2013)
top10mostfrequestseverefailure_Lumina_ViewpointISP.jpg
Top 10 most frequent severe (non-conformity) failures per sub-process

ISO/IEC 27001

Classification des constatations 

Les statistiques sont basées sur les constatations d'audit. Aux fins de cette analyse, une distinction est faite entre les non conformités "critiques" et "non critiques". Les constatations critiques comprennent les non-conformités majeures et mineures. Les constatations non critiques comprennent les observations et les possibilités d'amélioration.  

Résultats 

Au total, 78 % des entreprises auditées selon la norme ISO/IEC 27001 ont fait l'objet d'au moins une constatation (toutes catégories confondues), tandis que 40 % ont conclu l'audit avec au moins une constatation critique, c'est-à-dire une non-conformité majeure (catégorie 1) ou une non-conformité mineure (catégorie 2).  Près de 40 % des entreprises ont fait des constatations liées à la section A.12, où l'on trouve le management des systèmes informatiques et, en partie, les exigences relatives aux réseaux informatiques.

Les exigences en bref

Pour les trois défaillances critiques les plus fréquentes (à l'exception des points 9.2 et 9.3 qui sont communs à tous les systèmes de management et donc moins pertinents ici), une analyse qualitative approfondie a été menée afin de catégoriser les causes profondes des non-conformités et les actions correctives mises en place par les entreprises pour gérer le problème et éviter qu'il ne se reproduise. 

ISO/IEC 27001

Les questions suivantes concernent spécifiquement les entreprises certifiées ISO/IEC 27001 :


6.1.2 Évaluation des risques de sécurité de l'information 

L'organisme doit définir et appliquer un processus d'évaluation des risques de sécurité de l'information. Ceci doit inclure l'établissement d'une approche pour le management des risques de sécurité de l'information, des critères d'acceptation des risques de sécurité de l'information, l'identification, l'analyse et l'évaluation des risques. Au total, 27% des organisations ne satisfont pas aux exigences, généralement pour deux raisons : la première est que l'approche ne garantit pas la cohérence et la validité des résultats, par exemple un manque d'échelles pour attribuer des valeurs à la probabilité et aux conséquences des risques ; la seconde est que tous les risques pertinents ne sont pas identifiés (généralement les organisations se concentrent sur les risques informatiques et les risques d'origine externe). Les actions correctives comprennent généralement la révision de l'approche de l'évaluation des risques et un examen des risques pertinents. 

6.1.3 Gestion des risques liés à la sécurité de l'information 

L'organisme doit formuler un plan de gestion des risques et produire une déclaration d'applicabilité qui prend en compte les contrôles de l'annexe A de la norme. En général, les constatations sont les suivantes : le plan de gestion des risques n'inclut pas les délais et les responsabilités pour les actions ou certaines exclusions des contrôles de l'annexe A de la norme ne sont pas correctement justifiées (par exemple, de nombreuses organisations excluent l'utilisation du contrôle A.12.1.1 parce qu'elles pensent qu'il n'est applicable qu'au développement du logiciel et non à l'acquisition du logiciel). Les actions correctives nécessitent une meilleure planification des actions de gestion des risques ou une justification cohérente des risques acceptés ou nécessitent une meilleure compréhension des contrôles de l'annexe A des normes, car parfois ils sont mis en œuvre mais les organisations, par manque de compréhension, les considèrent comme non applicables.

A.9.2.5 Révision des droits d'accès des utilisateurs

L'organisation doit revoir les droits d'accès des utilisateurs à intervalles réguliers. Les 3% des organisations auditées ne satisfont pas à cette exigence parce que la révision n'est pas effectuée ou est partiellement effectuée. La cause profonde réside généralement dans le manque de sensibilisation des propriétaires des systèmes concernés et dans la complexité de la tâche, en raison de la complexité des systèmes informatiques actuels et de la variété des autorisations accordées aux utilisateurs. Les actions correctives nécessitent généralement de planifier et de réaliser correctement l'examen. Dans certains cas, elles initient un projet d'évolution du logiciel pour la génération automatique de rapports d'autorisation ou pour l'analyse automatique des autorisations définies dans un système et des rôles répertoriés dans le logiciel informatique utilisé pour la gestion des RH. 

A.8.1.1 Inventaire des actifs 

Les actifs doivent être identifiés et répertoriés dans un inventaire des actifs. L'inventaire des actifs doit être tenu à jour. Les 3 % d'organisations auditées ne satisfont pas à cette exigence car tous les actifs ne figurent pas dans l'inventaire des actifs. Cela est dû essentiellement au nombre et à la complexité des actifs, à l'utilisation d'outils inadéquats pour l'inventaire (par exemple, une liste dans une feuille de calcul ou dans un document) ou à une définition erronée du terme "actif" (cela peut conduire à un inventaire comportant trop d'actifs non pertinents, tels que des souris ou des claviers, ou pas assez détaillé pour les besoins de l'organisation). En général, les actions correctives se limitent à la correction de l'inventaire des actifs, mais elles devraient conduire à une révision des outils utilisés pour l'inventaire des actifs (et devraient également envisager l'utilisation d'un outil de découverte des systèmes informatiques et la désignation correcte des fonctions pertinentes dans l'organisation) et du type d'actifs qui doivent être inventoriés pour leur gestion correcte.