ISMS Copilot
Glossaire

Qu'est-ce que la Revue de Direction dans l'ISO 27001 ?

Aperçu

La revue de direction est une évaluation obligatoire menée par la haute direction pour évaluer la pertinence, l'adéquation et l'efficacité continues de votre SMSI. Requise par la clause 9.3 de l'ISO 27001:2022, elle garantit que la direction maintient une surveillance et impulse des améliorations stratégiques en matière de sécurité de l'information.

Il ne s'agit pas d'une réunion de travail opérationnelle, mais d'une revue formelle par les cadres et les décideurs capables d'allouer des ressources et de prendre des décisions stratégiques concernant votre SMSI.

La Revue de Direction en pratique

L'ISO 27001:2022 exige que la haute direction examine le SMSI à intervalles planifiés (généralement une fois par an ou tous les six mois) pour s'assurer qu'il reste adapté aux besoins de l'organisation et qu'il produit les résultats escomptés.

La revue examine si votre SMSI est :

  • Pertinent : Aligné avec le contexte, la stratégie et les objectifs commerciaux de votre organisation

  • Adéquat : Suffisamment doté de ressources et de périmètre pour protéger les actifs informationnels

  • Efficace : Atteint les objectifs de sécurité de l'information et maîtrise les risques

Les revues de direction doivent être documentées avec des enregistrements conservés montrant les éléments d'entrée examinés, les décisions prises et les actions entreprises.

Éléments d'entrée obligatoires (Clause 9.3)

Votre revue de direction doit prendre en compte :

État des actions des revues précédentes

Suivi de l'achèvement des décisions et des points d'action issus de la dernière revue de direction.

Changements dans les enjeux externes et internes

Examen des mises à jour de l'analyse contextuelle de la Clause 4.1 (facteurs externes comme les nouvelles réglementations, cybermenaces) et de la Clause 4.2 (changements internes comme les fusions, nouveaux systèmes).

Retours sur la performance de la sécurité de l'information

Examinez :

  • Les tendances des non-conformités et des actions correctives

  • Les résultats de la surveillance et de la mesure

  • L'atteinte des objectifs de sécurité de l'information

  • La performance des contrôles

Retours d'information des parties intéressées

Incluez les préoccupations de sécurité des clients, les retours des régulateurs, les exigences des partenaires et les rapports de sécurité des employés.

Résultats de l'évaluation des risques et état du plan de traitement des risques

Examen des risques nouveaux ou modifiés, de l'efficacité des traitements de risques et de l'avancement de la mise en œuvre des contrôles.

Opportunités d'amélioration continue

Identifiez les domaines où le SMSI peut être amélioré sur la base des leçons apprises, des technologies émergentes ou des meilleures pratiques.

L'absence d'un élément d'entrée requis peut entraîner une non-conformité lors des audits de certification. Assurez-vous que tous les éléments d'entrée de la Clause 9.3 sont documentés et pris en compte.

Éléments de sortie obligatoires

Les sorties de la revue de direction doivent inclure des décisions et des actions relatives à :

  • Opportunités d'amélioration continue : Initiatives stratégiques pour améliorer le SMSI

  • Besoin de changements dans le SMSI : Mises à jour du périmètre, des politiques, des objectifs ou des contrôles

  • Besoins en ressources : Budget, personnel, outils ou formation requis

Exemple de sortie : « Approuver un budget de 50 000 € pour la mise en œuvre de l'authentification multi-facteurs (MFA) sur tous les systèmes d'ici le T3 pour répondre aux risques accrus de phishing. »

Qui participe

L'ISO 27001:2022 exige que la « haute direction » mène la revue. Cela inclut généralement :

  • PDG, DG ou cadres équivalents

  • RSSI ou responsable de la sécurité de l'information (présente les constatations)

  • Chefs de départements concernés (IT, Juridique, Conformité, RH)

  • Propriétaires de risques pour les actifs critiques

Déléguez la préparation à l'équipe SMSI, mais assurez-vous que les véritables décideurs sont présents. La revue perd sa valeur si les dirigeants ne sont pas là pour prendre des décisions stratégiques et de ressources.

Dans les petites organisations, la personne qui met en œuvre le SMSI fait souvent partie de la haute direction, elle peut donc mener elle-même la revue de direction. L'ISO 27001 ne l'interdit pas, mais cela crée un risque de séparation des tâches. Enregistrez ce risque dans votre registre des risques, documentez la décision de l'accepter ou de le traiter, et définissez des actions d'atténuation (ex: future délégation de la propriété des contrôles, avis externe ou vérifications indépendantes périodiques).

Fréquence et calendrier

Bien que l'ISO 27001:2022 exige des revues à « intervalles planifiés », les meilleures pratiques recommandent :

  • Des revues annuelles au minimum

  • Des revues semestrielles pour les organisations matures ou à haut risque

  • Des revues supplémentaires après des incidents majeurs ou des changements organisationnels significatifs

  • Un calendrier avant les audits de certification pour combler d'éventuelles lacunes

Exigences en matière de documentation

La clause 9.3 exige que vous conserviez des informations documentées comme preuve des revues de direction. Vos enregistrements doivent inclure :

  • L'ordre du jour de la réunion montrant que tous les éléments d'entrée requis ont été couverts

  • La liste de présence confirmant la participation de la haute direction

  • Le résumé des éléments d'entrée présentés (indicateurs, résultats d'audit, changements de risques)

  • Les décisions prises et les actions assignées avec responsables et échéances

  • La preuve du suivi des actions précédentes

Utilisez ISMS Copilot pour générer des ordres du jour de revue de direction, préparer des résumés d'entrée à partir de vos données SMSI ou rédiger des plans d'action basés sur les décisions de la revue.

Erreurs courantes à éviter

  • Déléguer la revue au management intermédiaire au lieu de la haute direction

  • La traiter comme une simple formalité sans discussion significative

  • Omettre des éléments d'entrée requis par la Clause 9.3

  • Ne pas documenter les décisions et les actions

  • Ne pas effectuer le suivi des points d'action des revues précédentes

Termes connexes

Cela vous a-t-il été utile ?