Avec plus de 60 audits d’entreprises de toutes tailles à mon actif, de jeunes start-ups à des multinationales comptant plus de 70 000 collaborateurs, j’ai observé une diversité de niveaux de sécurité. Pourtant, au-delà de cette diversité, certaines erreurs organisationnelles reviennent inlassablement.
Je souhaite partager les éléments essentiels qui, de mon expérience, sont primordiaux lors de la préparation d’un audit de certification ISO27001. Ces conseils vous aideront à aborder cette phase avec confiance et sérénité.
Rendre Votre SMSI Auditable
Face à une équipe d’audit exigeant des preuves concrètes, il est crucial de constituer un répertoire solide de preuves tangibles. La preuve orale ne suffit pas. Collectez des éléments documentaires et techniques tout au long du cycle de vie de votre Système de Management de la Sécurité de l’Information (SMSI). Cette préparation préalable témoigne également d’un niveau de maturité certain.
Les documents attendus par les auditeurs
Certains documents sont indispensables selon la norme ISO27001. Voici une liste indicative, pouvant être adaptée à votre stratégie documentaire :
- Politique de sécurité de l’information
- Politique en matière d’appareils mobiles
- Politique en matière de télétravail
- Politique de contrôle d’accès
- Politique d’utilisation des mesures cryptographiques et de gestion de clés
- Politique de bureau propre et des écrans verrouillés
- Politique de sauvegarde
- Politique de transfert de l’information
- Politique de développements sécurisés
- Politique de de gestion des fournisseurs
- Plan de classification de l’information
- Procédures de marquage de l’information
- Prodédures de traitement de l’information
- Documentation sur le processus d’appréciation des risques
- Documentation sur les résultats des processus d’appréciation des risques
- Dda : Décision d’applicabilité
- Plan de traitement des risques
- Documentation sur la mise en œuvre du plan de traitement des risques
- Approbation du plan de traitement des risques et l’acceptation des risques résiduels par les propriétaires des risques.
- Documentation sur le processus de traitement des risques
- Informations documentées appropriées comme preuve de ces compétences.
- Informations documentées appropriées comme preuve des résultats de la surveillance et des mesures
- Informations documentées appropriées comme preuve de la mise en œuvre du ou des programme(s) d’audit et des résultats d’audit.
- Informations documentées appropriées comme preuve des conclusions des revues de direction
- Informations documentées appropriées comme preuve de la nature des non-conformités et de toute action subséquente et des résultats de toute action corrective.
- Informations documentées sur l’utilisation correcte des actifs
- Procédures de gestion des supports amovibles
- Procédure formelle de mise au rebut des supports qui ne sont plus nécessaires
- Processus formel d’enregistrement et de désinscription des utilisateurs
- Processus formel de distribution des accès aux utilisateurs
- Processus de gestion formel de la gestion des informations secrètes d’authentification
- Procédures pour le travail dans les zones sécurisées
- Procédures d’exploitation
- Procédures pour contrôler l’installation de logiciel sur des SI en exploitation
- Exigences en matière d’engagements de confidentialité
- Procédures de contrôle des changements de système
- Procédures réponse à incidents de sécurité
- Procédures de continuité en cas de crise ou de sinistre
- Procédures appropriées pour garantir la conformité avec les exigences relatives à la propriété intellectuelle
- Politique de protection des données personnelles
Les audits sont réalisés sous le principe de bienveillance
Concrètement, l’équipe d’audit est là pour attester des efforts que vous avez déployés tout au long de votre démarche de mise en conformité, et de déceler potentiellement les écarts à la norme, qu’il faudra travailler afin d’être dans une optique d’amélioration continue.
Ne vous mettez donc pas la pression, et ne la créez pas non plus auprès des équipes ! Mon conseil est le suivant ; Prenez le moment d’audit comme une superbe opportunité de vous faire challenger et donc de vous améliorer.
Ne pas se piloter au nombre d’écarts d’une année sur l’autre
Enfin, je vois très régulièrement des RSSI piloter et partager les indicateurs de performance du SMSI en CODIR. C’est une très bonne chose ! Cependant, ne faites pas l’erreur de mesurer la maturité de votre SMSI avec le nombre de non-conformités que les équipes d’audit ont pu identifier d’une année à l’autre. En effet, cette donnée est totalement biaisée par plusieurs facteurs, dont les deux plus importants à mes yeux ;
- Le principe d’échantillonnage, qui fait qu’une même équipe d’audit ne va pas forcément se concentrer sur les mêmes processus d’une année à l’autre, et donc potentiellement identifier des écarts qui existaient peut-être déjà les années précédentes.
- La diversité des compétences des auditeurs ! Chacun a son propre domaine d’expertise, et chaque auditeur va venir vous challenger plus ou moins en profondeur sur les sujets qui le passionnent, et au contraire survoler des domaines sur lesquels il est moins compétent. À chaque rotation d’équipe d’audit, vous serez donc challengé de manière différente.
En conclusion
L’audit ISO27001 évalue la maturité en sécurité d’une entreprise. La perfection n’est pas l’objectif, mais plutôt la capacité à gérer les risques et à s’améliorer continuellement. Il n’existe pas de méthode unique, trouvez celle qui convient le mieux à votre organisation.
Pour maximiser l’efficacité de votre démarche de sécurité, considérez l’audit comme une étape dynamique. L’objectif principal ne devrait pas être de simplement répondre aux exigences de la norme, mais plutôt de renforcer la posture de sécurité de votre entreprise tout au long du processus. L’audit ne doit pas être perçu comme une fin en soi, mais plutôt comme un catalyseur pour le progrès et l’amélioration continue de votre SMSI.
Nous aidons les entreprises à améliorer leur posture cyber, en leur mettant à disposition une plateforme de gestion des risques ainsi que des profils d’experts sécurité qualifiés. Si vous avez un besoin d’accompagnement, n’hésitez pas à nous contacter à l’adresse : [email protected]