Comment se passe un audit de certification ISO 27001 ?

Partage
L’expert

Mathieu Briol est auditeur ISO 27001 qualifié, sous-traitant de plusieurs organismes de certification (Certi-Trust, SGS et Vinçotte).

Après un début de carrière dans les réseaux et la sécurité technique, Mathieu commence à mener des audits de sécurité chez Devoteam puis Deloitte. Depuis 2019, il exerce en tant qu’auditeur indépendant et mène des audits de certification ISO 27001. Il a en parallèle une activité de conseil, de formation et d’audit (en dehors des audits de certification).

Bon à savoir : chaque organisme de certification a ses propres process de qualification d’auditeurs. Pour chacun, l’expert doit suivre une procédure d’environ 6 mois, comprenant plusieurs formations ainsi que des cas pratiques : être observateur d’un audit, et mener à bien un audit tout en étant accompagné par un Lead Auditor.

L’audit initial

L’audit initial est le premier audit d’un cycle de certification de 3 ans, composé de l’audit initial (année 1) et de 2 audits de surveillance (années 2 et 3).

 

Étape 1

Cette première étape se déroule généralement sur une journée. Il s’agit, pour l’auditeur, de faire connaissance avec le client – mais aussi d’effectuer une première évaluation du design du SMSI et de sa documentation associée.

« L’étape 1 va viser à s’assurer que le système de management de l’organisation a été correctement designé. Cela veut dire qu’il respecte les exigences de la norme, en particulier au niveau documentaire. »

Les principaux points d’attention sont les suivants :

  • s’assurer que la charge de travail globale de l’audit a été correctement évaluée ;
  • vérifier la pertinence et la cohérence du périmètre du système de management à certifier ;
  • vérifier que les essentiels de la norme sont couverts – autrement dit, que les informations documentées obligatoires exigées par la norme sont bien présentes.

Au terme de cette journée, l’auditeur indique si le client est prêt (ou non) à passer à l’étape 2.

« Si on relève de grosses lacunes chez le client, cela ne sert à rien de le faire passer à l’étape suivante : on lui explique qu’il n’est pas prêt, et c’est ensuite à lui de faire le nécessaire pour se re-présenter plus tard. »

Mais même si le client semble prêt, l’auditeur lui fournit toujours une liste d’« areas of concern » (zones d’inquiétude) : il s’agit d’éléments qui pourraient potentiellement donner lieu à des non-conformités à l’étape 2. L’entreprise a ensuite 4 à 8 semaines pour corriger ces points et passer le « vrai » audit de certification.

Bon à savoir : les auditeurs de certification n’ont pas le droit de donner de conseils aux audités ! Tous les points d’attention sont formulés sous forme de constat ; c’est à l’entreprise de trouver comment ils peuvent être corrigés.

 

Étape 2

Cette étape peut durer entre 2 et 25 jours, selon la taille de l’entreprise et du périmètre. Un audit peut en effet aller jusqu’à 25 jours pour des périmètres de plus de 10 000 personnes !

 

#1 La réunion d’ouverture

Tout commence par la réunion d’ouverture : habituellement tenue par le chef de l’équipe d’audit, son objectif est de fournir une brève explication de la façon dont les activités d’audit seront menées. On fait un point sur l’organisation de l’audit, le planning, la gestion de la confidentialité, la logistique globale… Tout doit être clair pour tout le monde avant de commencer.

 

#2 Le cœur de l’audit

Pour mener son audit, l’auditeur s’appuie sur différentes techniques : entretiens, revue documentaire, tests des systèmes, inspection visuelle… le tout avec l’assistance des audités.

« Durant la revue, on va détailler les documents obligatoires et non obligatoires qui sont établis dans le cadre du SMSI. Mais on va aussi réaliser des entretiens et des revues de système avec les audités. Dans tous les cas, tout est planifié à l’avance : on sait ce qu’il va se passer tel jour, à telle heure… Aucune surprise ! »

En substance, il s’agit de s’assurer précisément que toutes les exigences de la norme (c’est-à-dire ce qui est écrit dans le texte de la norme) sont respectées. On peut distinguer deux parties :

  • les clauses 4 à 10, qui expliquent comment le SMSI doit être mis en place ;
  • l’annexe A, qui contient une liste (non-exhaustive) de mesures de sécurité pouvant être implémentées.

Bon à savoir : l’entreprise n’est pas obligée de s’en tenir aux exigences de l’annexe A. À partir de son analyse de risques, elle peut décider de mettre en place des mesures supplémentaires, qui lui sont propres. Mais elle doit surtout comparer les mesures de sécurité qu’elle juge nécessaires (par rapport à ses risques de sécurité) avec celles de l’Annexe A, de façon à s’assurer qu’elle n’a rien oublié !

« En tant qu’auditeur, il faut aussi s’assurer que les mesures de sécurité que le client a dit qu’il allait mettre en œuvre sont effectivement mises en œuvre comme il l’a précisé dans sa déclaration d’applicabilité – un document obligatoire dans le cadre de l’audit. »

Chaque organisation peut, afin d’implémenter les mesures de sécurité qu’elle juge nécessaires, formaliser une série de politiques et procédures spécifiques qui décrivent ses propres exigences sur un sujet particulier. Par exemple, en matière de gestion des accès logiques, l’organisation peut décider de formaliser une procédure de gestion des accès logiques qui décrit précisément comment une demande d’accès est traitée. Ces exigences, propres à chaque organisation et établies pour se conformer à la norme, constituent également des critères d’audit dont il convient de vérifier l’application.

« Un exemple que je donne souvent aux clients, c’est : vous avez une procédure qui dit que toutes vos portes doivent être peintes en jaune. Alors je vais aller marcher dans les couloirs et vérifier si vos portes sont en effet peintes en jaunes. Et si je vois qu’elles ne le sont pas, je note ça comme une non-conformité, car c’est vous qui avez décidé de vous imposer cette exigence. »

À partir des critères d’audit, l’auditeur établit des constats :

  • non-conformités majeures (non-respect d’une exigence qui induit un risque important pour le fonctionnement du SMSI) ;
  • non-conformités mineures (non-respect d’une exigence avec gravité moindre) ;
  • points forts ;
  • opportunités d’amélioration.

« Évidemment, tout est fait sur le principe de l’échantillonnage : en 10 jours, c’est impossible d’auditer de manière exhaustive tout un périmètre ! »

À chaque fin de journée, l’auditeur prend quelques minutes avec l’audité pour faire un bilan sur ses constats de la journée.

 

#3 La réunion de clôture

Lors de cette réunion, l’auditeur fait le point sur tous ses constats de la semaine. À partir de ce qu’il a identifié, il annonce son choix de recommander (ou non) la certification.

Car oui : l’auditeur n’est pas celui qui attribue directement la certification ! Il fait une recommandation à la société d’audit, qui étudie le rapport et prend ensuite la décision finale.

« Dans un audit initial, si l’audité a des non-conformités majeures, il n’aura pas la certification. S’il a des non-conformités mineures, tout va dépendre du nombre et de la gravité de celles-ci. »

Dans le cas où l’auditeur a identifié des non-conformités majeures ou trop de non-conformités mineures, tout n’est pas perdu : l’audité a ensuite environ 90 jours (la durée peut varier selon les organismes de certification, mais ne dépasse jamais les 6 mois) pour les résoudre, à l’aide de plans d’actions validés par l’auditeur. Lorsque ce dernier revient, il (re)vérifie uniquement les points de non-conformité identifiés précédemment.

Si le résultat est positif, l’auditeur change sa recommandation : l’entreprise peut alors être certifiée !

« Dans mon expérience, environ 2 entreprises sur 4 obtiennent leur certification du premier coup. »

Les années suivantes

Les deux années suivant la certification, un audit dit « de surveillance » est mené chaque année. Il représente environ un tiers de la charge de travail nécessaire à l’audit initial. Dans ce cadre, l’auditeur reparcourt les non-conformités identifiées l’année précédente : il vérifie que les plans d’action qui avaient été validés sont effectivement mis en œuvre.

« Encore une fois, tout est très prévisible : au début du cycle, l’auditeur identifie ce qui sera audité les années suivantes. »

La quatrième année, arrive l’audit dit « de renouvellement ». Il correspond en grande partie à l’audit initial, sauf qu’il ne comprend pas l’étape 1 – puisque l’on sait déjà que le SMSI est en place.

En conclusion

Terminons par quelques points d’attention soulevés par Mathieu.

« Il faut être bien conscient qu’à partir du moment où l’audité a écrit quelque chose, il doit le faire. Les clients sont souvent surpris du niveau du niveau de détails dans lequel l’auditeur va : ils s’imaginent qu’on va simplement lire les documents, mais en fait, l’objectif, c’est quand même d’aller voir concrètement sur le système.

On effectue des vérifications informatiques, mais aussi des vérifications non-informatiques : puisqu’on examine toutes les activités de l’organisation qui sont comprises dans le périmètre à auditer, on peut aller rencontrer le directeur des ressources humaines, ou encore le département marketing. Il faut que tout le monde soit prêt !

Parfois, il vaut mieux être un peu plus modeste et se dire : “c’est vrai que ce serait super de mettre en place cette exigence, mais peut-être qu’on n’est pas encore prêts pour arriver à ce niveau-là.” Entre-temps, on va définir un niveau intermédiaire. »

Merci à lui pour son temps et son expertise !

Le mot de Tenacy

Maintenant que vous savez tout sur le déroulement de l’audit de certification ISO 27001, il ne vous reste plus qu’à le préparer… Ça tombe bien : la plateforme Tenacy est faite pour ça !

Découvrez la démo interactive