Les cyberattaques compromettent les données sensibles des organisations et, à travers elles, la réputation de celles-ci. Elle constitue de ce fait, une grande menace à toutes les organisations.

Pour la sécurité des actifs informationnels, la norme ISO 27001 recommande la réalisation des audits internes à intervalles planifiés pour lutter en permanence contre les risques de sécurité.

Selon un rapport de CBOK, l’audit interne fournit une assurance sur la gestion des risques dans son ensemble et fournit aux organisations, une évaluation impartiale du Système de Gestion de Sécurité Informationnelle (SGSI).

La clause 9.2 traite des exigences de la norme ISO 27001 pour la mise en œuvre des audits internes. Nous découvrons ensemble dans cet article, les exigences de la norme pour les audits internes.

Nous verrons ensuite comment élaborer un programme d’audit interne efficace. Pour finir, nous parcourons une liste de contrôle d’audits internes.

Clause 9.2 : qu’est-ce que l’audit interne ?

Un audit interne est un examen approfondi des composants d’une organisation en vue de garantir le respect des lois et règlements. Elle est une source d’information objective et fournit à la direction des outils nécessaires pour atteindre l’efficacité opérationnelle.

Audit interne

Source : twimg

En effet, l’audit interne permet d’identifier les faiblesses des processus et des lacunes afin de les corriger avant qu’un audit externe ne les découvre.

En matière de sécurité de l’information, l’audit interne permet d’examiner la conformité du SGSI à la fois aux exigences de la norme ISO 27001 et celles qui sont propres à l’organisation notamment :

  • La politique de sécurité informationnelle ;
  • Les exigences produites au cours de fixation des objectifs de sécurité de l’information ;
  • Les exigences légales et contractuelles ;
  • les exigences relatives aux informations documentées.

La clause 9.2 décrit les exigences de la norme pour effectuer les audits internes. Elle recommande d’évaluer le SGSI à intervalles planifiés au moyen d’audits internes.

Source : educba

À travers ces derniers, les organisations s’assurent que le SGSI est efficacement mis en œuvre et maintenu. Les organisations réalisent elles-mêmes les audits internes dans le respect des principes :

  • D’Intégrité ;
  • De présentation équitable ;
  • De professionnalisme ;
  • De confidentialité ;
  • D’indépendance ;
  • D’approche fondée sur des preuves.

Le travail des auditeurs consiste à vérifier que l’organisation a pris plusieurs dispositifs.

Planifié et mis en œuvre d’un programme d’audit

Le programme d’audit se distingue d’un d’un plan d’audit, qui décrit les activités et les dispositions pour un audit. Il est orienté vers des objectifs spécifiques, traite du cadre général de mise en œuvre des audits et planifie les audits suivants des délais précis.

Définis les critères d’audit et la portée de chaque audit

Ces critères sont l’ensemble des exigences propres aux organisations et qui servent de référence. Les preuves de l’audit seront comparées à ces critères et elles décrivent ce que l’auditeur attend de chaque audit.

Les critères définissent la spécificité de chaque audit. Pour chaque audit, les organisations sont tenues de documenter ses critères et son étendue afin de s’assurer de l’atteinte des objectifs.

Choisi des auditeurs qui seront objectifs et impartiaux

Les personnes qui mettent en œuvre l’audit doivent être indépendantes des politiques internes pour fournir des informations crédibles qui ne souffrent d’aucun biais.

Auditeurs objectifs et impartiaux

Source : ag5

Chaque fois qu’un audit a lieu, les auditeurs doivent s’assurer que les résultats sont remontés à la direction. C’est pourquoi la clause 9.2 prévoit que chaque audit prenne en compte les résultats de l’audit passé.

Les organisations doivent mettre en place un système de communication conformément à la clause 7.4 qui permet aux auditeurs de communiquer les résultats à la direction.

Conserver les informations documentées comme preuves.

Les organisations doivent conserver les différents documents qui prouvent que les audits sont réalisés. La documentation garantit aussi l’atteinte des objectifs de l’audit.

Pourquoi réaliser un audit interne ?

Les audits internes assurent la conformité des différentes exigences et processus comme mentionnés précédemment.

Ils assurent également que les politiques et les processus sont communiqués dans l’ensemble de l’organisation et compris par les employés ainsi que les principales parties prenantes.

Le principal objectif de l’audit est de déterminer les éventuelles non-conformités et d’évaluer l’efficacité du SGSI. C’est aussi une opportunité pour améliorer le fonctionnement du SGSI et de ses processus.

Pourquoi réaliser un audit interne 

Source : ealde

Outre les avantages, les audits internes garantissent une position forte en matière de sécurité en identifiant les domaines qui nécessitent une attention particulière.

Ils démontrent l’engagement de la direction et constituent des preuves qu’elle travaille dans le sens de la sécurité de l’information et de la conformité à la norme. Ils contribuent aussi à l’amélioration continue et aident à la sensibilisation du personnel.

Gestion d’un programme d’audit selon la clause 9.2 de l’ISO 27001

Un programme d’audit décrit la portée de l’audit et les responsabilités des personnes impliquées dans l’audit. Il faut définir les rôles pour assurer la :

  • Planification ;
  • Exécution,
  • Établissement de rapports ;
  • Suivi des activités d’audit individuel.

Gestion d un programme d audit

Source : slidetodoc

Le programme d’audit garantit que l’audit est approprié et la portée correspond à la taille de l’organisation. Il est garant de la compétence des auditeurs et du suivi des processus, des risques ainsi que de l’efficacité de l’audit à travers la tenue appropriée des dossiers d’audit.

Le programme de l’audit définit les délais pour auditer l’ensemble du SGSI. Il traite aussi de la documentation de l’audit notamment sur :

  • Les rapports ;
  • Le calendrier ;
  • Les lieux ;
  • les critères d’audit ;
  • Les méthodes d’audit.

Un programme d’audit fixe les dispositions pour que l’audit interne prenne en compte tous les composants.

Compétence et évaluation des auditeurs

La compétence des auditeurs est capitale pour assurer que les résultats sont valides. C’est la clause 7.3 qui traite de la compétence et fixe les exigences de la norme en la matière.

En ce qui concerne la compétence des auditeurs, il incombe à l’organisation de :

  • Identifier les compétences requises pour réaliser les audits ;
  • Sélectionner des auditeurs qui disposent des compétences nécessaires ;
  • Suivre des performances des équipes d’audit ;
  • Inclure dans les équipes d’audit interne des personnes qui disposent des connaissances spécifiques au domaine et des connaissances appropriées en matière de sécurité informationnelle.

Il est impératif de choisir les auditeurs en tenant compte de leur compétence et de leur indépendance vis-à-vis du SGSI.

Les qualites d un auditeur interne

Source : demos

Lorsque les organisations ne disposent ni de la compétence ni des ressources pour effectuer les audits internes, elles peuvent recourir à des auditeurs externes.

Dans ce cas, elles doivent s’assurer que les auditeurs externes aient une connaissance suffisante du contexte de l’organisation. Il revient aux employés internes de leur fournir toutes les informations requises.

Fréquence de l’audit interne selon la clause 9.2 de l’ISO 27001

La norme ne précise pas la fréquence à laquelle les organisations doivent effectuer des audits internes. Les organisations sont différentes entre elles tout comme leur SGSI. Par conséquent, la fréquence diffère pour toutes les organisations.

Chaque organisation réalise les audits en fonction de :

  • sa dimension et sa nature ;
  • Sa fonctionnalité et sa complexité ;
  • Niveau de maturité de son SGSI.

En outre, les organisations doivent définir la fréquence en considérant le fait que les processus et les contrôles doivent être opérationnels pendant un certain temps afin de permettre l’évaluation de preuves appropriées.

Lorsque les audits sont effectués sur des contrôles qui sont mis en œuvre récemment, les résultats ne seront pas valides puisqu’il n’existe pas encore assez de données. Il est recommandé de réaliser des audits tous les ans.

Frequence de l audit interne

Source : vectorstock

Cependant, les audits internes peuvent être effectués tous les trois ans. Cela dépendra aussi de la durée pour laquelle les organismes d’octroi de l’ISO vont envoyer leurs auditeurs. Plus l’écart est grand, plus ces auditeurs peuvent détecter des non-conformités.

Clause 9.2 : Liste de contrôle pour les audits internes

Pour vous aider à réussir l’audit interne, Protectam a développé une liste de contrôle en 5 étapes dont les organisations de toutes tailles peuvent s’en servir.

Revue de la documentation

Les organisations doivent examiner la documentation qu’elles ont créée lors de la mise en œuvre de SGSI.

La documentation est abordée dans la clause 7.5 et fait référence à l’ensemble des informations importantes d’une organisation qui doivent être organisées et contrôlées.

Revue de la documentation

Source : pngitem

Il s’agit essentiellement d’une combinaison des documents et des enregistrements qui constituent la preuve des actions mises en œuvre dans le cadre du SGSI.

Revoir la documentation permet de fixer des limites pour ce qui doit être audité et d’apprécier tous les documents qui sont susceptibles d’être utilisés au cours de l’audit. En effet, la portée de l’audit doit correspondre à la dimension de votre organisation.

Rencontre entre les auditeurs et la direction

Cette étape marque le début de l’audit et précède la création du plan de l’audit. Les auditeurs et la direction conviennent du calendrier d’audit et les ressources requises  à l’audit.

Rencontre entre les auditeurs et la direction

Source : depositphotos

En rencontrant la direction, les deux parties font part de leurs préoccupations et il s’agira surtout de définir la portée de l’audit. Elles établissent les points de contrôles qui méritent les plus de l’attention.

Examen sur le terrain

C’est l’étape de l’audit proprement dit et l’évaluation du SGSI commence. Les auditeurs doivent observer le fonctionnement du SGSI à travers des discussions avec les membres du personnel impliqué.

Examen sur le terrain

Source : techembro

Ils doivent également réaliser des tests d’audit pour valider les preuves de la documentation au fur et à mesure qu’elles sont recueillies.

Les résultats de chacun des tests réalisés doivent être documentés et les auditeurs sont appelés à remplir des rapports d’audits. Ils examinent l’ensemble des documents et toutes les données pertinentes.

Analyse des preuves recueillies

Les auditeurs sont tenus de trier et d’examiner les preuves recueillies par rapport au plan de traitement des risques et aux objectifs de l’organisation. L’analyse peut révéler des lacunes dans les preuves ou indiquer la nécessité d’effectuer davantage de tests d’audit.

Rapport de l’audit interne

À la fin de l’audit, les auditeurs doivent présenter les résultats à la direction dans un rapport qui montre que les audits internes sont réalisés conformément aux exigences de la norme.

Le rapport d’audit comprend généralement : 

  • Une introduction qui met en évidence le contexte, la portée, les objectifs et le calendrier ;
  • Un résumé qui comprend les principaux résultats, les résultats des analyses et une conclusion ;
  • Les destinataires du rapport et les directives pour la diffusion ;
  • Les directives sur la documentation ;
  • Une analyse approfondie des résultats ;
  • Les conclusions et les mesures correctives recommandées.
  • Une déclaration détaillant les recommandations ou les limitations de la portée.

Types de rapport d audit

Source : slideplayer

Un examen et une révision supplémentaires peuvent être nécessaires, car le rapport final implique généralement que la direction s’engage dans un plan d’action.

Réalisation d’un audit interne selon la clause 9.2 de l’ISO 27001

Pour commencer, le chef d’équipe d’audit prépare un plan en se basant sur les audits passés. En effet, il doit se tenir informé des non-conformités et des risques inacceptables signalés précédemment.

Les auditeurs doivent examiner :

  • L’adéquation et l’efficacité des processus ainsi que des contrôles définis dans le programme d’audit ;
  • Les actions entreprises pour d’atteindre les objectifs de sécurité ;
  • Le respect des recommandations de la norme notamment de la clause 4 à 10 ;
  • La conformité avec les exigences de sécurité des informations propres à l’organisation ;
  • Cohérence entre la déclaration d’applicabilité et les résultats issus du traitement des risques de sécurité ;
  • Cohérence entre le plan de traitement des risques, leurs évaluations et les critères d’acceptation des risques ;

Realisation d un audit

Source : istockphoto

La réussite de l’étape de la surveillance et la mesure de l’efficacité des contrôles conformément à la clause 9.1 réduit les efforts d’évaluation des auditeurs. Mais à condition qu’ils confirment d’abord l’efficacité des méthodes de mesure utilisées.

Lorsque les résultats de l’audit révèlent des non-conformités, les auditeurs sont tenus d’élaborer un plan d’action pour chaque non-conformité. Le plan décrit généralement :

  • La non-conformité identifiée ;
  • Ses causes ;
  • La correction nécessaire à court et à moyen terme ainsi que des actions correctives ;
  • Les personnes responsables de la réalisation.

Par ailleurs, les organisations ne doivent pas s’attendre à un audit rapide. Il y a au total 114 contrôles et les audits peuvent prendre du temps. De plus, les audits internes requièrent une bonne préparation.

Etapes pour preparer l audit

Source : slideplayer

Les auditeurs doivent s’assurer d’avoir toutes les informations requises comme la déclaration d’applicabilité et les résultats des audits précédents. Il doivent aussi apprêter un checklist afin d’effectuer l’audit de manière méthodique.

Les non-conformités à la clause 9.2 de l’ISO 27001

L’audit interne concerne l’ensemble du SGSI et apparaît comme une tâche délicate que nombre d’organisations n’arrivent pas à réaliser avec aisance. Ceci se manifeste souvent par le non-respect des exigences de la clause 9.2.

Les non-conformités proviennent souvent du fait que les organisations n’ont pas réalisé l’audit interne ou n’ont pas pris en compte certains composants. Ceci survient lorsque les organisations ne planifient pas les audits ou lorsqu’elles ne réalisent pas ce qui est planifié.

Cet état de choses peut bloquer une organisation à une étape donnée et l’empêcher d’obtenir la certification ISO 27001.

Les six etapes de l audit

Source : iqualit

Les non-conformités proviennent également du fait que le programme d’audit n’est pas adapté aux risques ou ne couvre pas suffisamment le champ d’application.

D’une manière générale, l’audit interne prend en compte l’ensemble des sites physiques du champ d’application. Cependant, certaines organisations ne prennent pas en compte les installations éloignées pour les audits.

Il n’est pas aussi rare de voir des programmes d’audit pour l’ensemble du SGSI, mais qui n’incluent pas les contrôles de l’annexe A et vice versa.

La non-conformité survient parfois lorsque les organisations n’incluent pas certains composants dans l’audit, mais ne les remet pas dans le programme pour les prochains audits.

En effet, il est possible que le risque lié à l’élément omis augmente avant les prochains audits. Il arrive aussi que certains dossiers d’audit soient inadéquats et n’enregistrent pas correctement les observations de l’audit.

Par ailleurs, la cause de non-conformité est l’impartialité de l’auditeur. Dans les  organisations de petite dimension, il peut être difficile de trouver un auditeur impartial.

Comment Protectam vous aide-t-il à éliminer toutes les non-conformités par l’audit interne ?

Les audits internes sont essentiels aux organisations qui en sont à leur premier essai de certification ISO 27001, mais aussi pour celles qui veulent maintenir leur certification. 

Cependant, ils sont souvent source d’anxiété pour nombre d’entre elles à cause de ses nombreuses exigences. Pour démystifier ces exigences, nous vous proposons un accompagnement dans l’ensemble des étapes de l’obtention de la certification.

Prestations protectam

Nous mettons à la disposition de nos clients, des auditeurs qualifiés et qui sont spécialisés dans la sécurité de l’information. Ils vous aideront à répondre aux exigences liées aux audits internes afin d’identifier toutes les non-conformités à la clause.

Nous vous proposerons après les audits des actions correctives pour assurer l’efficacité de votre SGSI et pour vous permettre d’obtenir la certification ISO 27001 au premier essai.

Conclusion

La clause 9.2 de la norme ISO clarifie les exigences de la norme quant à ses exigences relatives à l’audit interne du SGSI. La principale exigence de cette clause est la mise en œuvre des audits internes à des intervalles planifiés.

Les auditeurs doivent être choisis de manière objective et impartiale. Ils peuvent être sélectionnés parmi les personnes impliquées dans le SGSI ou solliciter des auditeurs externes lorsque l’organisation ne dispose pas des compétences nécessaires.

Le but des audits internes est de déterminer l’état du SGSI afin de détecter et d’éliminer toutes les non-conformités à la norme. Pour cela, les organisations doivent les planifier en tenant compte des contrôles les plus importants du système.

Elles doivent également produire un programme d’audit à la portée du système et qui garantit garantir que tous les éléments du système sont passés en revue.

Compte tenu de la complexité de la clause 9.2, Protectam met à votre disposition des auditeurs qualifiés qui vous permettront de corriger toutes les non-conformités et d’obtenir la certification ISO 27001 au premier coup.