ISMS Copilot
Glossaire ISO 27001

Qu'est-ce qu'une non-conformité dans l'ISO 27001 ?

Aperçu

Une non-conformité est le non-respect d'une exigence dans votre SMSI. Dans la norme ISO 27001:2022, la clause 10.2 exige que les organisations identifient, réagissent et corrigent les non-conformités lorsqu'elles surviennent, puis prennent des mesures correctives pour éliminer leurs causes racines et prévenir leur réapparition.

Les non-conformités sont découvertes lors d'audits internes, de revues de direction, d'audits de certification externes ou des opérations quotidiennes — et les traiter est essentiel pour maintenir la certification et améliorer votre SMSI.

Les non-conformités en pratique

Une non-conformité existe lorsque votre SMSI ne répond pas à une exigence provenant de :

  • Exigences de la norme ISO 27001:2022 (Clauses 4-10)

  • Vos propres exigences documentées du SMSI (politiques, procédures, objectifs)

  • Obligations légales, réglementaires ou contractuelles applicables

Les non-conformités peuvent aller de simples lacunes documentaires mineures à des défaillances de contrôle majeures compromettant la sécurité de l'information.

Lors des audits de certification, les non-conformités majeures peuvent retarder ou empêcher la certification. Les non-conformités mineures nécessitent une action corrective mais ne bloquent généralement pas la certification si elles sont traitées rapidement.

Types de non-conformités

Non-conformité majeure

Une défaillance significative qui affecte la capacité du SMSI à atteindre les résultats escomptés ou à répondre aux exigences.

Exemples :

  • Absence totale d'un processus requis (ex: aucune évaluation des risques réalisée)

  • Défaillance systématique d'un contrôle (ex: les revues d'accès n'ont pas été effectuées depuis 18 mois)

  • Non-conformité significative aux exigences légales (ex: notification de violation du RGPD non suivie)

  • Plusieurs non-conformités mineures liées indiquant des problèmes systémiques

Impact : Les organismes de certification exigent généralement que les non-conformités majeures soient résolues avant d'accorder ou de maintenir la certification.

Non-conformité mineure

Un incident ou un écart isolé qui n'affecte pas gravement l'efficacité du SMSI.

Exemples :

  • Signature manquante sur un seul document de politique

  • Un cas d'employé n'ayant pas terminé sa formation de sensibilisation à la sécurité à temps

  • Documentation incomplète pour une revue de direction récente

  • Un contrôle mis en œuvre mais pas entièrement documenté

Impact : Doit être corrigée mais n'empêche généralement pas la certification si elle est traitée dans un délai raisonnable.

Observation / Opportunité d'amélioration

Techniquement pas une non-conformité, mais un constat suggérant des problèmes futurs potentiels ou des domaines d'amélioration.

Exemples :

  • Le contenu de la formation de sensibilisation à la sécurité est daté (aucune exigence actuelle n'est violée)

  • Le processus d'évaluation des risques fonctionne mais pourrait être plus efficace

  • Les indicateurs de surveillance ne s'alignent pas bien avec les objectifs de sécurité de l'information

Impact : Aucune action corrective immédiate n'est requise, mais doit être prise en compte pour l'amélioration continue.

Les auditeurs de certification classent les constatations en non-conformité majeure, non-conformité mineure ou observation. Les audits internes devraient utiliser les mêmes classifications pour se préparer aux audits externes.

Sources communes de non-conformités

Audits internes (Clause 9.2)

Votre propre programme d'audit identifie les non-conformités avant les audits de certification.

Exemple : Un audit interne constate que la restauration des sauvegardes n'a pas été testée depuis 14 mois, violant votre politique de sauvegarde qui exige des tests trimestriels.

Audits de certification externes

Les organismes de certification évaluent la conformité lors des audits de l'Étape 1, de l'Étape 2 et de surveillance.

Exemple : L'auditeur de certification ne trouve aucune preuve documentée de revue de direction au cours des 12 derniers mois (violation de la Clause 9.3).

Surveillance opérationnelle (Clause 9.1)

Les mesures de performance révèlent des écarts par rapport aux exigences.

Exemple : La surveillance montre des temps de réponse aux incidents de 8 heures en moyenne, dépassant votre objectif de 4 heures.

Incidents de sécurité

Les violations ou les quasi-incidents exposent des défaillances de contrôle.

Exemple : Une attaque de phishing réussie révèle que les employés n'ont pas reçu de formation de sensibilisation à la sécurité (non-conformité Clause 7.2 et A.6.3).

Retours des parties intéressées

Les clients, les régulateurs ou les employés signalent des problèmes.

Exemple : Un audit client découvre que les évaluations des fournisseurs tiers n'ont pas été documentées (non-conformité A.5.19).

Répondre aux non-conformités (Clause 10.2)

L'ISO 27001:2022 exige une réponse structurée lorsque des non-conformités surviennent :

1. Réagir à la non-conformité

  • Prendre des mesures immédiates pour contrôler et corriger la situation

  • Gérer les conséquences (contenir les dommages, informer les parties affectées)

Exemple : Découverte d'une non-conformité de contrôle d'accès. Action immédiate : Révoquer l'accès non autorisé, informer l'équipe de sécurité, examiner tous les accès récemment accordés.

2. Évaluer la nécessité d'une action pour éliminer les causes

  • Enquêter sur la raison pour laquelle la non-conformité s'est produite (analyse de la cause racine)

  • Déterminer si des non-conformités similaires existent ou pourraient se produire ailleurs

Exemple : Cause racine : Pas de rappel automatisé pour les revues d'accès trimestrielles. Risque similaire : D'autres tâches périodiques pourraient manquer de rappels.

3. Mettre en œuvre une action corrective

  • Prendre des mesures pour éliminer la cause racine et prévenir toute réapparition

  • S'assurer que les actions sont appropriées à l'importance de la non-conformité

Exemple : Action corrective : Mettre en œuvre une planification automatisée des tâches pour toutes les activités périodiques du SMSI (revues d'accès, tests de sauvegarde, revues de politiques).

4. Examiner l'efficacité de l'action corrective

  • Vérifier que l'action a résolu la non-conformité et empêché sa réapparition

  • Surveiller pour s'assurer que le problème ne revient pas

Exemple : Après 6 mois, l'audit confirme que toutes les tâches planifiées sont terminées à temps grâce aux rappels automatisés.

5. Mettre à jour le SMSI si nécessaire

  • Réviser les informations documentées (politiques, procédures, contrôles)

  • Mettre à jour l'évaluation des risques si de nouveaux risques sont identifiés

Exemple : Mettre à jour la procédure de gestion des changements pour inclure le suivi automatisé des tâches pour toutes les activités périodiques.

Documentez toutes les non-conformités et actions correctives dans un registre. Incluez : description, classification, date de découverte, cause racine, actions entreprises, responsable, délai et résultats de l'examen de l'efficacité.

Techniques d'analyse de la cause racine

Une action corrective efficace nécessite d'identifier les véritables causes racines, pas seulement les symptômes :

Les 5 Pourquoi

Demandez « pourquoi » à plusieurs reprises pour remonter jusqu'à la cause racine.

Exemple :

  • Pourquoi l'incident s'est-il produit ? → L'employé a cliqué sur un lien de phishing.

  • Pourquoi a-t-il cliqué ? → Il n'a pas reconnu que c'était suspect.

  • Pourquoi ne l'a-t-il pas reconnu ? → Manquait de formation de sensibilisation.

  • Pourquoi manquait-il de formation ? → Les nouvelles recrues ne sont pas inscrites automatiquement.

  • Pourquoi pas d'inscription automatique ? → Aucun processus d'intégration avec le système RH.

  • Cause racine : La formation à la sécurité n'est pas intégrée au processus d'intégration (onboarding).

Diagramme en arête de poisson (Ishikawa)

Catégorisez les causes potentielles (personnes, processus, technologie, environnement) pour identifier les facteurs contributifs.

Analyse des modes de défaillance et de leurs effets (AMDE)

Évaluez systématiquement comment les processus peuvent échouer et quelles en sont les conséquences.

Exemples par clause ISO 27001

Clause 5.2 - Politique de sécurité de l'information

Non-conformité : Politique non approuvée par la haute direction ou absence d'engagement envers l'amélioration continue.

Action corrective : Obtenir la signature du PDG, ajouter une clause d'amélioration continue, communiquer la politique mise à jour.

Clause 6.1.2 - Évaluation des risques

Non-conformité : L'évaluation des risques n'a pas été mise à jour depuis 24 mois malgré des changements commerciaux importants.

Action corrective : Réaliser une évaluation des risques actualisée, établir un calendrier de révision annuel avec des rappels calendrier.

Clause 7.2 - Compétence

Non-conformité : Aucun enregistrement montrant que le personnel IT possède les certifications de sécurité ou les formations requises.

Action corrective : Documenter les compétences actuelles, identifier les lacunes de formation, inscrire le personnel aux cours requis, tenir des registres de formation.

Clause 9.2 - Audit interne

Non-conformité : Audit interne réalisé par la même personne responsable des contrôles audités (manque d'indépendance).

Action corrective : Réviser le programme d'audit pour affecter des auditeurs indépendants des zones auditées, fournir une formation aux auditeurs sur les exigences d'indépendance.

Annexe A.8.8 - Gestion des vulnérabilités techniques

Non-conformité : Vulnérabilités critiques identifiées lors des analyses mais non corrigées dans le délai imparti.

Action corrective : Corriger immédiatement les systèmes vulnérables, mettre en œuvre un déploiement automatisé des correctifs, établir une surveillance des SLA de vulnérabilité.

Utilisez l'ISMS Copilot pour effectuer l'analyse des causes racines des non-conformités, générer des plans d'actions correctives ou créer des modèles pour les registres de suivi des non-conformités.

Exigences de documentation

La clause 10.2 exige des informations documentées comme preuve de :

  • La nature des non-conformités et des actions entreprises

  • Les résultats des actions correctives

Votre registre des non-conformités devrait inclure :

  • ID de la non-conformité et date de découverte

  • Source (audit interne, audit externe, incident, surveillance)

  • Classification (majeure, mineure, observation)

  • Description détaillée et exigence concernée

  • Résultats de l'analyse de la cause racine

  • Plan d'action corrective avec responsabilités et délais

  • Suivi du statut (ouvert, en cours, fermé)

  • Résultats de l'examen de l'efficacité

Action préventive dans l'ISO 27001:2022

Contrairement aux versions précédentes, l'ISO 27001:2022 n'a pas de clause distincte d'« action préventive ». La prévention est intégrée à la norme via :

  • L'évaluation des risques identifiant les problèmes potentiels avant qu'ils ne surviennent

  • L'amélioration continue (Clause 10.1) améliorant proactivement le SMSI

  • L'action corrective traitant les causes racines pour prévenir la réapparition

Termes connexes

  • Audit interne – Identifie les non-conformités

  • Amélioration continue – Va au-delà de la correction des non-conformités pour optimiser le SMSI

  • Revue de direction – Examine les tendances de non-conformité et les actions correctives

  • SMSI – Ce que les non-conformités indiquent comme ne respectant pas les exigences

Cela vous a-t-il été utile ?