Avec plus de 250 audits d'entreprises de toutes tailles : de la jeune start-up à la multinationale comptant plus de 70 000 collaborateurs, j'ai observé une diversité de niveaux de sécurité. Pourtant, au-delà de cette diversité, certaines erreurs organisationnelles reviennent inlassablement.
Je souhaite partager les éléments essentiels qui, de mon expérience, sont primordiaux lors de la préparation d'un audit de certification ISO27001. Ces conseils vous aideront à aborder cette phase avec confiance et sérénité.
Logan Fernandez, co-fondateur de Tales of Security
Rendre Votre SMSI Auditable
Face à une équipe d'audit exigeant des preuves concrètes, il est crucial de constituer un répertoire solide de preuves tangibles. La preuve orale ne suffit pas. Collectez des éléments documentaires et techniques tout au long du cycle de vie de votre Système de Management de la Sécurité de l'Information (SMSI). Cette préparation préalable témoigne également d'un niveau de maturité certain.
Les Documents Attendus par les Auditeurs
Certains documents sont indispensables selon la norme ISO27001. Voici une liste indicative, pouvant être adaptée à votre stratégie documentaire :
• Politique de sécurité de l’information
• Politique en matière d’appareils mobiles
• Politique en matière de télétravail
• Politique de contrôle d’accès
• Politique d’utilisation des mesures cryptographiques et de gestion de clés
• Politique de bureau propre et des écrans verrouillés
• Politique de sauvegarde
• Politique de transfert de l’information
• Politique de développements sécurisés
• Politique de de gestion des fournisseurs
• Plan de classification de l'information
• Procédures de marquage de l'information
• Procédures de traitement de l'information
• Documentation sur le processus d'appréciation des risques
• Documentation sur les résultats des processus d'appréciation des risques
• DdA : Décision d'applicabilité
• Plan de traitement des risques
• Documentation sur la mise en œuvre du plan de traitement des risques
• Approbation du plan de traitement des risques et l'acceptation des risques résiduels par les propriétaires des risques.
• Documentation sur le processus de traitement des risques
• Informations documentées appropriées comme preuve de ces compétences.
• Informations documentées appropriées comme preuve des résultats de la surveillance et des mesures
• Informations documentées appropriées comme preuve de la mise en œuvre du ou des programme(s) d'audit et des • résultats d'audit.
• Informations documentées appropriées comme preuve des conclusions des revues de direction
• Informations documentées appropriées comme preuve de la nature des non-conformités et de toute action subséquente et des résultats de toute action corrective.
• Informations documentées sur l'utilisation correcte des actifs
• Procédures de gestion des supports amovibles
• Procédure formelle de mise au rebut des supports qui ne sont plus nécessaires
• Processus formel d'enregistrement et de désinscription des utilisateurs
• Processus formel de distribution des accès aux utilisateurs
• Processus de gestion formel de la gestion des informations secrètes d'authentification
• Procédures pour le travail dans les zones sécurisées
• Procédures d'exploitation
• Procédures pour contrôler l'installation de logiciel sur des SI en exploitation
• Exigences en matière d'engagements de confidentialité
• Procédures de contrôle des changements de système
• Procédures réponse à incidents de sécurité
• Procédures de continuité en cas de crise ou de sinistre
• Procédures appropriées pour garantir la conformité avec les exigences relatives à la propriété intellectuelle
• Politique de protection des données personnelles
Les audits sont réalisés sous le principe de bienveillance
Concrètement, l’équipe d’audit est là pour attester des efforts que vous avez déployés tout au long de votre démarche de mise en conformité, et de déceler potentiellement les écarts à la norme, qu’il faudra travailler afin d’être dans une optique d’amélioration continue.
Ne vous mettez donc pas la pression, et ne la créez pas non plus auprès des équipes !
Mon conseil est le suivant ; Prenez le moment d’audit comme une superbe opportunité de vous faire challenger et donc de vous améliorer.
Ne pas se piloter au nombre d’écarts d’une année sur l’autre
Enfin, je vois très régulièrement des RSSI piloter et partager les indicateurs de performance du SMSI en CODIR. C’est une très bonne chose ! Cependant, ne faites pas l’erreur de mesurer la maturité de votre SMSI avec le nombre de non-conformités que les équipes d’audit ont pu identifier d’une année à l’autre. En effet, cette donnée est totalement biaisée par plusieurs facteurs, dont les deux plus importants à mes yeux :
• Le principe d'échantillonnage, qui fait qu’une même équipe d’audit ne va pas forcément se concentrer sur les mêmes processus d’une année à l’autre, et donc potentiellement identifier des écarts qui existaient peut-être déjà les années précédentes.
• La diversité des compétences des auditeurs ! Chacun a son propre domaine d’expertise, et chaque auditeur va venir vous challenger plus ou moins en profondeur sur les sujets qui le passionnent, et au contraire survoler des domaines sur lesquels il est moins compétent. À chaque rotation d’équipe d’audit, vous serez donc challengé de manière différente.
En conclusion
L'audit ISO27001 évalue la maturité en sécurité d'une entreprise. La perfection n'est pas l'objectif, mais plutôt la capacité à gérer les risques et à s'améliorer continuellement. Il n'existe pas de méthode unique, trouvez celle qui convient le mieux à votre organisation.
Pour maximiser l'efficacité de votre démarche de sécurité, considérez l'audit comme une étape dynamique. L'objectif principal ne devrait pas être de simplement répondre aux exigences de la norme, mais plutôt de renforcer la posture de sécurité de votre entreprise tout au long du processus. L'audit ne doit pas être perçu comme une fin en soi, mais plutôt comme un catalyseur pour le progrès et l’amélioration continue de votre SMSI.
On a utilisé @Leonardo.ai pour générer notre image de couvertuPrompt : Une jeune femme à l'expression curieuse, aux cheveux bruns ébouriffés et au sourire subtil se gratte la tête en inspectant un système d'information complexe rempli de rangées de disques durs métalliques brillants, dont les petites lumières clignotent dans la pièce faiblement éclairée, ses yeux bleus brillants balayant les données avec intensité, ses doigts fins planant sur les claviers et les fils, tandis qu'à l'arrière-plan, un groupe de personnes, certaines munies de mallettes et d'ordinateurs portables, l'observent de loin, leurs visages mêlant intrigue et fascination, leurs corps partiellement cachés par des rangées d'étagères métalliques épurées garnies de livres et de gadgets techniques, l'atmosphère étant imprégnée du bourdonnement de la technologie et des chuchotements discrets des conversations.
