Le cycle PDCA expliqué pour les dirigeants

Plan-Do-Check-Act semble bureaucratique. En pratique, c'est simple : notez ce que vous faites, faites-le, vérifiez si ça fonctionne, ajustez. Voici l'explication la plus courte qui soit vraiment utile.

Le PDCA est le fil conducteur de tout SMSI. ISO 27001 exige que vous appliquiez ce cycle. En pratique, il se décline sur trois niveaux : stratégique (annuel), tactique (trimestriel), opérationnel (continu).

Stratégique : annuel

• Plan : plan annuel avec 2 à 5 objectifs de sécurité.
• Do : mise en œuvre tout au long de l'année.
• Check : audit interne + revue de direction.
• Act : le plan annuel suivant intègre les constats.

Tactique : rythme trimestriel

• Planification : quels contrôles nécessitent une attention particulière ce trimestre ?
• Mise en œuvre : revues des accès, tests de sauvegarde, mises à jour des politiques.
• Check : collecter les constats, mettre à jour le registre des risques.
• Act : planifier les mesures correctives.

Opérationnel : continu

Journaliser les incidents, effectuer des tests de phishing, des analyses de vulnérabilités, appliquer les correctifs. Chaque semaine apporte son lot d'actions.

Une règle commune à tous les niveaux

Consignez tous les cycles (annuel, trimestriel, hebdomadaire) dans le même calendrier ou outil. Un SMSI qui n'existe que dans les têtes est un SMSI qui ne survivra pas au premier audit sérieux.

Voir aussi qu'est-ce qu'un SMSI.