Efficacité des mesures

Votre organisation doit établir des politiques et des procédures pour évaluer l’efficacité des mesures mises en œuvre.

Évaluer l’efficacité des mesures

Vous devez vous assurer que les mesures de sécurité mises en place sont suffisantes pour faire face aux risques auxquels l’organisation est confrontée. Les mesures doivent être proportionnelles au paysage des menaces.

Mesure

Vous devez disposer d’une politique d’évaluation de l’efficacité continue de vos mesures de sécurité. L’évaluation doit confirmer que les mesures protègent toujours contre les risques pertinents et que la politique de sécurité de l’information est conforme aux exigences internes et aux lois.

Ensuite, vous devez établir des procédures pour réaliser ces évaluations et pour décider quand effectuer des tests techniques, par exemple des analyses de vulnérabilité. Ces procédures doivent comprendre

Outils et méthodes spécifiques pour évaluer et tester en permanence la sécurité des réseaux et des systèmes d’information,
des contrôles visant à confirmer que les mesures sont conformes aux lois et règlements en vigueur,
les méthodes permettant d’évaluer si les politiques sont suivies et comment l’organisation s’assure que les mesures sont effectivement mises en œuvre et maintenues pour les actifs qu’elles sont censées protéger,
un processus de traitement des mesures jugées inefficaces, y compris le suivi et l’amélioration,
la clarification de la personne responsable de la réalisation des évaluations.

Vos politiques et vos procédures doivent tenir compte de ces éléments :

les résultats de vos évaluations des risques et les leçons tirées des incidents passés,
ce que les mesures sont censées protéger, si elles offrent un niveau de protection approprié et si votre organisation dispose des ressources nécessaires pour les gérer efficacement.

Ces politiques et procédures doivent être liées à la politique de sécurité du système d’information de votre organisation, à la politique de gestion des risques et à la gestion des incidents.

Enfin, vous pouvez également vous assurer que les responsables de la gestion des risques, des mesures et des rapports de gestion connaissent les exigences en matière d’évaluation de l’efficacité, afin qu’ils puissent planifier les contrôles pertinents et assurer le suivi des résultats.

Documentation

Vos politiques et procédures d’évaluation de l’efficacité doivent être mises à jour régulièrement et lorsque des changements majeurs interviennent dans les objectifs de l’organisation, ses vulnérabilités ou le paysage des menaces. Cela peut, par exemple, avoir lieu avant la révision prévue de la politique de sécurité des systèmes d’information de l’organisation.

Tests techniques

En effectuant des tests techniques, vous permettez d’identifier les vulnérabilités et d’évaluer l’efficacité des mesures que vous avez mises en œuvre.

Exigences

Vous devez régulièrement évaluer la nécessité de procéder à des essais techniques afin d’apprécier l’efficacité de vos mesures de sécurité. Sur la base d’une évaluation des risques, vous devez définir le type et la fréquence des tests, ainsi que les composants, les systèmes et les éléments organisationnels à tester pour garantir la sécurité des opérations.

Voici quelques exemples de tests techniques :

les analyses de vulnérabilité,
les tests de pénétration et les tests de l ‘équipe rouge,
les activités de l’équipe bleue,
l’examen de la configuration des systèmes et des réseaux par rapport aux meilleures pratiques et à vos politiques de sécurité,
les revues de code,
des examens de la gestion des correctifs,
des tests d’ingénierie sociale,
les tests de contrôle d’accès et de sécurité des mots de passe,

Votre réseau et vos systèmes d’information doivent faire l’objet de tests de sécurité lors de l’installation, de la maintenance, des mises à jour ou d’autres changements importants.

En outre, des tests techniques planifiés et réguliers doivent être effectués dans l’ensemble de l’organisation. Les tests peuvent être réalisés en interne ou par des tiers et doivent suivre une méthodologie documentée. La portée, le type, le calendrier et les résultats des tests doivent être documentés de manière à être clairs même pour les experts externes.

Les résultats des tests techniques peuvent être utilisés pour mettre à jour les politiques et les procédures d’évaluation de l’efficacité des mesures de sécurité. La documentation doit au moins comprendre une évaluation du degré de criticité des résultats et des mesures correctives prises si les résultats indiquent des risques pour la confidentialité, l’intégrité, l’authenticité ou la disponibilité. Tout risque subsistant doit être formellement accepté par les propriétaires du risque et signalé à la direction concernée.

Documentation

Vous devez effectuer des tests à intervalles réguliers et après des changements majeurs ou des incidents importants. La documentation doit être examinée par le personnel concerné et les résultats doivent être communiqués à la direction.

Conformité numérique

RGPD

Loi sur l’IA

NIS2

Ressources

Guides

Plate-forme de sensibilisation

Services