Gestion des actions

Les membres du COPIL SMSI constituent un plan unique des actions à partir des décisions issues:

• Des non conformités constatées, notamment lors des audits internes et du test d'intrusion
• Des opportunités d'amélioration continue
• De l'analyse des risques
• Des incidents de sécurité
• Ainsi qu'en toute occasion utile

L'événement générateur d'une ou plusieurs actions est enregistré comme une fiche événement. Cette fiche comporte au moins :

• Un identifiant, de la forme evtAAMMNN[-X], où AA est l'année de création, MM le mois et NN le jour et éventuellement -X en numéros d'ordre i plusieurs événements surviennent le même jour.
• La date de l'événement
• Sa description
• Les liens vers les actions initiées
• Éventuellement le compte-rendu de l'événement

La liste des fiches événements est consultable ICI

Chaque action fait l'objet d'une fiche action. Cette fiche comporte au moins :

• un identifiant, de la forme actAAMMNN, où AA est l'année de création, MM le mois et NN un numéro d'ordre.
• un intitulé,
• un pilote parmi les membres du COPIL SMSI
• un statut : Brouillon, En cours, Suspendue, Terminée ou Clôturée
• un avancement en pourcentage et la description de sa méthode de mesure,
• une échéance, identifiée par le trimestre du Comité auquel elle devrait être clôturée (25T2 pour le second trimestre 2025).
• la description de son critère de clôture
• un journal.

Les listes des fiches actions en cours et clôturées sont consultables sur la page de suivi_des_actions.

Pour alléger la gestion en évitant les fiches actions redondantes:

• Une mesure programmée peut être déclarée à la fois en tant que mesure et qu'action.
• Dans la phase de construction du SMSI, les FIXME inscrits dans les procédures valent fiche d'action et complètent le plan unique des actions.

Suite aux conclusions des audits de conformité et de certification, le responsable d’exécution du SMSI soumet au responsable du centre de du centre de calcul un plan de traitement des actions. Le responsable du Centre de calcul définit les échéances en fonction de trois critères :

• Le niveau d'urgence requis par l'action ou l'évènement déclencheur
• Le niveau de risque
• La charge de travail estimée pour l'équipe du centre de Calcul

Dans le cadre des audits (techniques, de conformité ou de certification), les actions corrigeant des non-conformités majeures sont priorisées.

La fiche action est mise à jour par son pilote au moins en préparation de chaque réunion trimestrielle du COPIL SMSI.

A chaque mise à jour il ajoute une section à la date du jour dans le journal, met à jour l'avancement et le cas échéant le statut.

L'action est terminée lorsque son avancement atteint 100%, mais qu'elle n'a pas été encore clôturée par le COPIL SMSI. Si l'action est également une mesure programmée, elle peut alors être passée au statut de mesure effective.

L'action ne peut être clôturée qu'après l'appréciation par le COPIL SMSI de son efficacité, sur la base de critère de clôture défini dès la création de l'action. Cette appréciation de l'efficacité doit être consignée dans le journal. Si l'action est issue d'une non-conformité ou d'un incident de sécurité, elle doit notamment prendre en compte :

• Si l'action élimine la non-conformité ou réduit suffisamment la probabilité d'occurrence de l'incident.
• L'existence possible de non-conformités similaires ou l'occurrence possible d'incidents similaires.
• La réponse apportée par l'action à ces non-conformités ou incidents potentiels.

En fonction du résultat, le COPIL SMSI peut:

• Clôturer l'action, jugée efficace dans tous les cas de figure.
• Maintenir l'action ouverte pour traiter des cas complémentaires, en redéfinissant son critère d'avancement.
• Créer de nouvelles actions si les modalités de traitement des cas complémentaires sont significativement différentes de celles retenues initialement.

Lorsque l'action efficace requiert une modification du SMSI, celle-ci est publiée et applicable dès la décision du COPIL SMSI.

La liste des actions est revue formellement à chaque réunion trimestrielle du COPIL SMSI et informellement lors des réunions courantes de suivi de l'activité.

Les fiches actions, ou la catégorie “action” sur une mesure programmée, peuvent être supprimées deux ans après la clôture de l'action.