Analyse Loi 25
Pour nous joindre
Normes & gouvernance
6 Décembre 2024

ISO27001 — Clause 9.2 — Audit interne — Assurer la conformité

La clause 9.2 de la norme ISO 27001:2022 demande aux organisations de faire des audits internes réguliers de leur système de gestion de la sécurité de l’information (SGSI).

Faire ses impots – Photo by Dimitri Karastelev on Unsplash

Ces audits sont essentiels pour valider que le programme de sécurité est efficace, repérer les faiblesses, et s’assurer que toutes les exigences sont bien respectées.

Différence entre un Audit Interne et un Audit Externe

On commence par des définitions : un audit interne est fait par des auditeurs qui travaillent pour l’organisation, ils rendent des comptes à la direction mais doivent être indépendant le plus possible, ils ne doivent pas être impliqué dans les opérations quotidien des processus qu’ils évaluent. Leurs objectifs est d’évaluer et d’améliorer les processus de sécurité en continu.

C’est un peu comme demander à son comptable de vérifier ses rapports d’impôts avant de les envoyer à Revenu Québec. Autant savoir nos erreurs avant !

L’audit interne devrait être réalisé par des personnes ayant une bonne compréhension des processus et des contrôles du SGSI, mais qui sont indépendantes des activités auditées. Ils doivent posséder des compétences minimales, telles qu’une connaissance des principes de audit, une compréhension approfondie de la norme ISO 27001, ainsi que des compétences en analyse, observation et communication. Des formations en audit interne et des certifications telles que ISO 27001 Lead Auditor ou ISO 27001 Internal Auditor sont également recommandées.

Un audit externe, par contre, est fait par une entité indépendante, comme un organisme de certification, pour vérifier si l’organisation respecte bien les normes et les règlements. Les auditeurs externes sont des experts certifiés qui n’ont aucun lien avec l’organisation, ce qui garantit l’objectivité. Ils doivent rendre des comptes à l’organisme de certification qui demande un audit. C’est un peu comme Revenu Québec, qui nous envoie ou non un avis de cotisation !

Voici un lien vers un article pour évaluer un rapport d’audit : [Comment faire confiance à un rapport d’auditeur]

La clause 9.2 oblige les organisations à réaliser des audits internes du SGSI pour vérifier la conformité aux exigences de la norme et aux objectifs de sécurité définis dans la clause 6.2. La clause requiert également que les audits internes soient planifiés à intervalles réguliers, en fonction des besoins de l’organisation et des risques associés.

L’objectif est de garantir que les mesures de sécurité mises en place sont efficaces et que les écarts sont rapidement corrigés.

Étapes pour Réaliser des Audits Internes

  1. Planification de l’Audit : Définissez les objectifs et le périmètre de l’audit. La planification devrait inclure les critères d’audit, les méthodes et les ressources nécessaires, ainsi que la gestion des éventuels conflits d’intérêts. Par exemple, l’audit pourrait porter sur la conformité des politiques de sécurité ou l’efficacité des contrôles mis en œuvre (Ou les deux!).
  2. Sélection des Auditeurs : Choisissez des auditeurs compétents et indépendants, idéalement qui ne sont pas impliqués directement dans les activités auditées. Par exemple, un auditeur ne devrait pas avoir participé aux activités qu’il évalue ni être subordonné aux responsables de ces activités.
  3. Collecte d’Évidences : Utilisez des méthodes telles que l’observation, l’examen de documents, et les interviews pour collecter des informations sur les contrôles mis en place. Les évidences doivent être objectives, vérifiables et appropriées à l’objectif de l’audit.
  4. Analyse des Résultats : Comparez les résultats de l’audit aux exigences du SGSI pour identifier les écarts et les opportunités d’amélioration.
  5. Rédaction du Rapport d’Audit: Notez les constatations, y compris les non-conformités et les actions correctives recommandées. Le rapport doit être partagé avec les personnes concernées, et le suivi des actions correctives doit être planifié.

Voir l’article : [Que cherche un auditeur]

Table des matières d’un rapport d’audit interne

Un rapport d’audit interne devrait contenir minimalement les sections suivantes :

  1. Première page : Inclure le titre du rapport, la date, et les noms des auditeurs.
  2. Résumé: Présenter un aperçu général des objectifs de l’audit, des principales constatations, et des conclusions.
  3. Introduction: Décrire le contexte, les objectifs de l’audit, la portée, et la méthodologie utilisée.
  4. Critères et Méthodes d’Audit: Fournir des informations sur les critères d’audit utilisés, les méthodes appliquées, et les sources d’évidences.
  5. Suivi des derniers audits : Le statut des non-conformités découvertes lors du dernier audit, avec un simple suivi pour vérifier si les plans d’action ont été réalisés conformément.
  6. Constatations de l’Audit: Détailler les résultats de l’audit, y compris les non-conformités, les observations, et les bonnes pratiques identifiées.
  7. Évaluation des Risques: Évaluer les risques associés aux non-conformités identifiées et leur impact potentiel sur l’organisation.
  8. Actions Correctives Recommandées: Proposer des actions pour corriger les non-conformités et améliorer les processus.
  9. Plan de Suivi: Décrire comment les actions correctives seront suivies, y compris les délais et les responsables.
  10. Annexes: Inclure les documents pertinents, tels que les questionnaires d’audit, les listes de vérification, ou toute autre information utile.

Conseils pour des Audits Internes Efficaces

  • Planifiez les Audits : Organisez des audits internes à intervalles réguliers (par exemple, trimestriels ou annuels) pour assurer une surveillance continue.
  • Impliquez les Parties Prenantes : Assurez-vous que les parties prenantes comprennent le processus et sont impliquées dans les actions correctives nécessaires.
  • Formation: Il est important de prévoir une formation continue pour les auditeurs afin de garantir qu’ils restent compétents et à jour avec les évolutions de la norme.
  • Soyez Objectifs: Les auditeurs doivent rester impartiaux et concentrés sur la recherche de l’amélioration continue, plutôt que sur la recherche de fautes.

Critères de Succès

Pour vérifier si vous respectez bien la clause 9.2 de la norme ISO 27001:2022, voici quelques questions qu’un auditeur pourrait poser :

  • Quelle est la fréquence des audits internes et comment décidez-vous de cette fréquence ?
  • Quel est le périmètre de vos audits internes?
  • Comment sélectionnez-vous les auditeurs pour garantir leur indépendance ?
  • Quelles actions correctives avez-vous mises en place suite aux audits internes ?
  • Comment les résultats des audits internes sont-ils communiqués à la direction ?

La clause 9.2 vérifie la conformité du SGSI, permets d’améliorer la culture d’amélioration continue mais contribue aussi à la préparation pour les audits externes. Un audit bien planifié et bien fait peut vraiment aider à améliorer la sécurité de l’information et renforcer la résilience de l’entreprise. Par exemple, un bon audit peut aider à améliorer les processus de gestion des accès, à sensibiliser les employés à la sécurité, ou à réduire les risques liés aux failles de sécurité.

Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.

Patrick Boucher
Président fondateur
25+ ans d’expérience en sécurité, piratage éthique, continuité des affaires
Écrivez-nous

Formulaire Sticky Services

Envie de travailler avec nous ?

Parlez-nous de vos enjeux. On verra rapidement si on est la bonne équipe pour vous.
Discutons ensemble