Audit de la conformité aux normes
L’audit de conformité et un moyen de mesure, d’évaluation et de diagnostic d’un système existant par rapport à un référentiel, qu’il soit normatif, contractuel, légal ou réglementaire. La Sécurité de l’Information, en particulier, fait l’objet de plusieurs normes et standards selon le domaine d’activité de l’entreprise.
Autrement dit, l’audit de conformité vise à évaluer l’alignement d’un système vis-à-vis de règles internes ou externes, ou de contrôler le système d’autrui sur la prise en compte de vos règles dans le cas d’un audit externe.
Pour ce faire, l’audit de conformité doit d’une part respecter une démarche reconnue et objective d’évaluation d’un système, mais aussi doit être conduit par des personnes ayant les qualifications et l’expérience nécessaire pour le faire. Pour être objective, l’audit doit être documenté et tout décalage par rapport à ce qui devrait exister doit être prouvé par des faits soulevés durant l’audit. Ceci fait de l’audit un diagnostic dont le résultat est temporaire, car reflète la santé d’un système durant une fenêtre de temps bien déterminée.
Cet audit concerne toute société souhaitant avoir un avis indépendant et objective sur sa conformité vis-à-vis de sa politique de sécurité de l’information, de référentiels liés à l’activité de l’entreprise, d’une obligation légale, règlementaire ou encore contractuelle.
L’audit donne lieu à un rapport qui retrace les points forts, les opportunités d’amélioration mais aussi les non-conformités qu’il faut corriger et une proposition de plan d’action pour le faire. L’objectif final étant d’éviter à l’entreprise tout incident (de sécurité) pouvant porter atteinte à son activité soit directement (par exemple : un incident de sécurité, une non-conformité légale) ou indirectement (atteinte à l’image de marque, confiance des clients…)
L’audit est réalisé en trois temps :
- Étude documentaire et prise de connaissance des activités concernées par l’audit, ce qui permet d’établir l’ensemble des vérifications à faire à la base des normes et référentiels applicables dans le domaine d’activité de l’entreprise.
- Audit proprement dit sur le (ou les) site(s) de l’entreprise, durant lequel une vérification des différentes exigences et leur implémentation est réalisée. Cette vérification peut se faire par le biais de constations, entretiens avec les personnes concernées ou encore par la collecte d’échantillons de données. Ces éléments constituent les preuves objectives permettant d’établir l’évaluation finale dans le rapport.
- Reporting de l’état de conformité, preuves à l’appui, dans un document avec les recommandations de correction, ou autre recommandation pour une amélioration du système existant. En effet, le rapport d’audit ressort les points forts constatés, les opportunités d’amélioration en plus des non-conformités clairement identifiées.
Les principaux normes et référentiels : ISO 27001 et ISO 27002 pour la sécurité de l’information, ISO 22301, ISO 9001, ISO 14001, loi 09-08, politiques internes (Politique de sécurité, guide de développement sécurisé, …), clauses contractuelles (contrats de travail, client…), transfert de données personnelles à l’étranger, …
Audit Externe
Un audit externe est un audit demandé par un client pour vérifier la conformité du système d’un fournisseur par rapport aux exigences d’une norme donnée.
Audit de pré-certification
La mise en place d’un système qui répond aux exigences d’une norme peut motiver l’entreprise à se faire certifier (quand c’est applicable). Un autre de pré-certification est un audit qui permet de faire une dernière vérification globale, à l’image d’un vrai audit de certification, avant de le demander à organisme certifiant (certification body). Quelque fois l’audit de pré-certification est appelé audit à blanc, il a aussi pour objectif de mettre le personnel de l’entreprise à l’aise avec l’idée d’un audit de certification. En général, les employés redoutent le mot audit, et prennent l’audit pour une évaluation de vie ou de mort qui pèse sur leurs têtes.
Audit de conformité RGPD
Un audit de conformité RGPD est le premier pas dans le chemin de mise en conformité de tout établissement (privé ou public) aux exigences de la loi « General Data Protection Regulation ». L’audit permet d’avoir un bilan de tous les traitements effectués par l’établissement, et ses sous-traitants, pour ressortir avec les recommandations précises sur les actions à réaliser pour être en conformité avec la RGPD.
Cette démarche de conformité concerne tous les établissements, grands ou petits, traitant des données à caractère personnel de ressortissants de l’Union Européenne, que ce soit des données personnelles qualifiées de sensibles ou pas.
Le rapport d’audit donne une évaluation de l’existant ainsi que les recommandations sur les points d’amélioration et sur les non-conformités juridiques.