Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Management de la sécurité de l'information et ISO 27001
  3. L'évaluation
Extrait - Management de la sécurité de l'information et ISO 27001 Principes et mise en oeuvre de la gouvernance
Extraits du livre
Management de la sécurité de l'information et ISO 27001 Principes et mise en oeuvre de la gouvernance
3 avis
Revenir à la page d'achat du livre

L'évaluation

Introduction

Parmi les raisons généralement évoquées pour améliorer la gouvernance de la sécurité de l’information, les entreprises soulignent l’importance de se mettre en conformité au regard des exigences de leurs clients ou des exigences réglementaires.

Ces exigences peuvent être normatives et impliquer que l’entreprise soit certifiée pour continuer ses relations avec son donneur d’ordre. Dans ce cas, l’entreprise sera soumise à un audit de certification.

Dans la plupart des cas, le donneur d’ordre n’exige pas formellement une certification, mais la conformité à un certain nombre de règles de sécurité. Pour mieux comprendre la genèse de ces exigences, il faut se reporter à la norme ISO 27001, qui fait obligation de gérer la sécurité des prestataires sensibles. Par gérer, on entend exprimer des exigences et en contrôler l’application. Un moyen de contrôle est la réalisation d’audit, et l’entreprise fournisseur sera soumise à ce qu’il est convenu d’appeler un audit tiers au travers duquel l’entité cliente souscrit à ses exigences normatives.

Dans d’autres cas, l’organisation se doit d’être conforme à un référentiel réglementaire : HDS pour les Hébergeurs de Données de Santé, réglementations spécifiques pour les organisations sensibles (Organisme d’Importance Vitale, Opérateurs de Services Essentiels), ou sectorielles (nucléaire par exemple), encore que les obligations...

Pourquoi faire des audits ?

1. Audit de conformité réglementaire

L’audit de conformité réglementaire a tout naturellement pour objectif de démontrer, directement ou indirectement, la conformité à une réglementation.

Il peut être mandaté par l’organisme lui-même. C’est le cas de la conformité SecNumCloud, ou 27701 par exemple, où l’on se positionne dans un schéma entièrement volontaire. À date, il n’y a pas d’obligation qui pèse sur un organisme le contraignant à ces référentiels. Une certification SecNumCloud peut être perçue comme valorisant une offre, comme une manière d’adresser des marchés contraints. En ce sens, la mise en conformité avec le référentiel peut s’avérer valorisante, mais elle n’est pas contrainte.

De manière plus indirecte, la conformité au standard ISO 27701 peut se révéler être un excellent choix pour démontrer une conformité à la réglementation RGPD, qui elle est obligatoire. Mais la réglementation ne contraint pas (encore) la qualification.

La certification HDS est une démarche également volontaire, quoiqu’un peu contrainte. Il n’est pas fait obligation aux hébergeurs de démontrer leur conformité à la réglementation, mais s’ils ne se mettent pas en conformité, ils n’ont plus dans l’absolu capacité à héberger des données de santé. C’est le sens que nous donnons à cette logique volontaire contrainte....

Référentiels d’audit

À l’exception des référentiels réglementaires qui sont en général définis en prenant en compte le contexte métier (données personnelles pour 27701, données de santé pour HDS, hébergement pour SecNumCloud), il est effrayant de constater à quel point les référentiels privés peuvent être génériques et inadaptés aux missions confiées. Nous avons accompagné plusieurs structures dans leur référencement par de grands donneurs d’ordre. Parfois dans des cas très particuliers, comme la mise à disposition de consultants, les missions étant réalisées sur site et sur le système d’information du client. Il a fallu quand même justifier de la sécurisation des postes de travail qui n’étaient pas utilisés dans la mission, des infrastructures, des sites, quand toute la problématique se concentrait sur la rubrique sécurité des ressources humaines (sensibilisation, formation). Il nous a été expliqué en réponse à notre étonnement que le référencement se veut générique et qu’un prestataire mettant à disposition des ressources pouvait dans l’avenir être titulaire d’un marché d’hébergement. Disons plutôt que le donneur d’ordre ne fait pas toujours l’effort de décliner le référentiel en fonction des marchés et de définir un Plan d’Assurance Sécurité adapté...

Audit de certification

L’audit de certification est une démarche volontaire, parfois légèrement contrainte par le secteur d’activité, cela a déjà été mentionné.

1. Référentiels d’audit

Les référentiels d’audit sont le plus souvent des normes internationales, largement débattues par des experts internationaux. En règle générale, il faut compter cinq ans entre l’adoption d’un nouveau sujet de travail et la publication du standard international correspondant. On admettra qu’on laisse du temps au temps. Il existe également des référentiels de certification nationaux (HDS par exemple) qui ont le mérite de s’appuyer sur une certification internationale (ISO 27001 dans le cas d’HDS) et qui ont été également l’objet de débats assez larges.

Ces référentiels d’audits internationaux relèvent d’un consensus d’experts, avec des réunions, parfois fastidieuses, de résolutions de commentaires. Ce qui donne parfois aux textes un caractère un peu bancal, les compromis faisant que pour accepter un commentaire d’un état, il faut parfois intégrer un commentaire d’un autre. Devant être adaptés au plus grand nombre, ils demeurent néanmoins assez souples : si obligation est faite par exemple de gérer des risques, la démarche est contrainte mais la méthode reste libre, afin que chacun puisse adapter la thématique à ses pratiques.

Autre caractéristique, le référentiel d’audit...

Profil type d’un auditeur

Loin de nous l’idée de définir un stéréotype de l’auditeur. Chacun possède sa personnalité, ses défauts et ses qualités. L’idée ici est plus de définir une sorte de fiche de poste, de manière à aider l’audité, lorsqu’il en a le choix, à déterminer avec qui il souhaite travailler en priorité.

1. De la certification de personnes

Il existe des certifications de personnes en matière d’audit. Il a déjà été mentionné notre refus de nous prononcer sur la certification PASSI (prestataires d’audit de sécurité des systèmes d’information), nous ne le ferons pas plus sur son volet certification de personnes.

En ce qui concerne l’audit relatif à la gouvernance de la sécurité, la certification la plus répandue et universelle est la certification lead auditor ISO 27001. Basée sur l’acquisition des exigences de l’ISO 27001 et celle de l’ISO 19011 (audit), la formation est organisée sur une semaine et sanctionnée par la délivrance d’une certification délivrée par un organisme indépendant. La certification octroyée prend en considération l’expérience du candidat et délivre des grades allant peu ou prou de débutant à expert/responsable d’audit.

Dans ce domaine comme en bien d’autres en matière de gestion de l’humain, s’arrêter à un diplôme constitue un mal, dont il convient de se guérir. Passer de X 1972 ou de Docteur en Mathématiques...

Modalités d’audit

Pour avoir accompagné nombre de candidats, nous avons constaté que l’audit de certification est une étape particulièrement stressante pour les organismes candidats et les équipes concernées, c’est un peu un contexte d’examen. Il s’agit indubitablement d’une situation de stress, souvent mal vécue par les intervenants : c’est l’aboutissement d’un travail de plusieurs mois, d’un nombre d’acteurs conséquent, qui a nécessité un budget important, travail exercé sous l’œil de la Direction. Pas trop de droit à l’erreur donc, ce qui explique certainement ce stress même si les choses ont été très bien menées. Et s’il s’agit d’une toute première fois, c’est effectivement une situation délicate. 

Nous proposons donc ce chapitre au lecteur désireux de mieux maîtriser cette phase, d’en mieux maîtriser les règles, afin de dédramatiser l’instant autant que faire se peut.

L’objet de ce chapitre n’est bien évidemment pas de donner des « astuces » pour tromper l’auditeur de certification, mais de mieux comprendre la relation pour que cet audit puisse être ce qu’il doit être, à savoir un élément d’amélioration continue. De sortir d’une relation perçue à tort par bien des structures comme dominant/dominé pour aller vers une relation harmonieuse dans laquelle chaque acteur a quelque chose à gagner.

L’audit comporte normativement...

Plan de remédiation et mise à jour du plan d’action

Quelle que soit la nature de l’audit, l’auditeur formule les écarts relevés dans un rapport d’audit. Il appartient à l’organisme audité, dans des délais convenus, de présenter un plan de remédiation aux constats formulés. La logique est en tout point similaire à celle mise en place dans le cadre de l’audit interne. Le plan de remédiation comporte un certain nombre d’actions en réponse aux écarts relevés, qui sont intégrées au plan d’action global, de la même manière que les actions d’amélioration consécutives à la détection d’un incident, l’observation d’une non-conformité ou la réduction des risques (formulation de l’action, identification de son responsable, définition du planning associé, spécification des points de contrôle visant à s’assurer de la mise en place de ladite action et d’en mesurer l’efficacité).

Il est intéressant de pouvoir lier l’action corrective mise en œuvre à un objectif de sécurité, ce qui permettra, une fois l’action en place, d’améliorer la mesure de l’atteinte de cet objectif.

Il est également intéressant de pouvoir lier la mise en place effective de l’action avec le rapport d’audit, permettant ainsi à l’auditeur de s’assurer de la levée des non-conformités identifiées.

L’audit, une étape indispensable à l’amélioration

En dépit des circonstances, voire du fait même des circonstances, l’audit constitue un facteur d’amélioration essentiel. Les observations formulées lors d’un audit tiers ont un poids conséquent, plus peut-être que celles effectuées lors d’un audit interne : parce qu’elles sont énoncées par un expert du domaine, parce qu’il y a obligation à les prendre en considération, elles ne peuvent être négligées. Elles sont donc matière à appui pour le responsable de la gouvernance, qui trouvera là un relais externe conséquent à ses demandes budgétaires, à ses demandes de collaboration de la part d’équipes moins concernées au premier chef. Elles sont remontées en comité stratégique à la direction, qui œuvrera à la résolution des points durs.

Il est parfois difficile de ne pas mettre trop d’affects dans la prise en considération des observations, mais s’il y parvient, le responsable de la gouvernance trouvera beaucoup de points positifs et d’enseignements à tirer d’un audit externe proprement effectué.

Et une fois le problème d’affect résolu, une fois les non-conformités traitées, le responsable de gouvernance sera aux yeux de la Direction LA personne qui a mené à bien le projet. Avec son aide, bien sûr, mais demeurera pendant quelques jours, voire semaines, la personne qui a permis de poursuivre la relation commerciale avec un donneur d’ordre...

Rappel des points clés

Une entité peut faire l’objet d’un audit externe de manière volontaire ou contrainte : audit de conformité réglementaire, audit de certification, audit mandaté par un donneur d’ordre. Les référentiels d’audit dépendent naturellement de l’objet du contrôle : exigences réglementaires, exigences contractuelles d’un donneur d’ordre, clauses obligatoires et engagements souscrits dans le cas d’une certification.

Des audits internes peuvent être réalisés par des organisations conséquentes (audit de conformité à un référentiel interne d’une filiale par exemple) et sont obligatoires dans le cadre de certaines certifications, où l’audit interne et la mise en place d’un plan de remédiation constituent des préalables indispensables à l’audit de certification. Même si cela n’est pas toujours chose aisée, il convient d’adopter une attitude positive lors de ces audits et de les considérer comme des opportunités d’amélioration tout en ayant en tête les différences entre audit interne et audit tiers.

Les modalités de contrôle sont articulées autour de quatre phases principales que sont la réunion de lancement, la revue documentaire, l’audit sur site et la réunion de clôture. Les écarts relevés par les auditeurs doivent impérativement être justifiés par des éléments probants, ce qui n’est pas toujours chose aisée et pondérés selon leur importance...

Cas pratique

Afin d’illustrer ce chapitre et la difficulté de l’exercice, il est proposé dans ce chapitre quelques exemples de non-conformités constatées lors des audits. Ces exemples sont tirés de cas réels observés, parfois bien tristement.

1. Les non-conformités inadmissibles

Absence d’analyse de risques

Il nous a été donné de constater l’absence de toute analyse de risque lors de la mise en place d’un système de gouvernance. Manque de ressources spécialisées nous a-t-on expliqué. Il est vrai que l’exercice est un peu spécifique, mais de là à n’en pas faire du tout !

Absence d’audit interne

L’organisme candidat n’a pas procédé à un audit interne, alors que c’était défini dans son programme d’audit. Il s’agit là d’une exigence de la norme, qui oblige la réalisation d’audits à intervalles réguliers. Dont les résultats doivent être pris en compte lors de la revue de direction.

Pas de prise en compte des exigences contractuelles

La communication étant des plus limitées entre les commerciaux et le RSSI, ce dernier n’a aucune vision des clauses acceptées par les commerciaux, en matière de disponibilité des solutions hébergées par exemple. C’est assez gênant dans la définition de mesures conformes à ces exigences…

Tiers non identifiés

Lors de la présentation du domaine d’application, il apparaît que des prestations sensibles du périmètre sont...