La norme ISO 27001 est aujourd’hui une référence incontournable pour démontrer son engament pour la sécurité de l'information auprès des parties intéressées, notamment les clients.
Au cœur du référentiel : l’audit interne. La norme impose la réalisation d'un audit interne (clause 9.2), pour vérifier la conformité avec les exigences de la norme et identifier des axes d’amélioration du SMSI. Bien réalisé, l’audit interne est un dispositif essentiel pour évaluer l’efficacité des mesures, préparer les audits de certification. La qualité et la valeur ajoutée d'un audit interne reposent principalement sur le choix de l’auditeur. Une erreur de sélection peut réduire l'audit interne à une formalité sans impact réel voir inquiéter l'auditeur de l'organisme de certification s'il constate plus de non-conformité que l'auditeur interne. Un auditeur compétent et indépendant peut transformer l’audit en véritable levier d’amélioration.
Choisir son auditeur interne ISO 27001 ne s’improvise pas. Trois critères principaux doivent guider cette décision : compétence, indépendance et posture.
Compétence
L’auditeur doit parfaitement maîtriser les exigences de la norme, mais aussi comprendre les spécificités de l’organisme audité (industrie, numérique, finance, etc.).
La particularité de la norme 27001 repose sur son annexe avec des mesures très techniques, sans compétence technique, il nous parait très compliqué de pouvoir auditer des équipes techniques sans réellement comprendre comment le système d'information fonctionne. Sans cette double expertise, l'auditeur risque de passer à côté de failles critiques ou de formuler des recommandations inadaptées.
Indépendance
L’objectivité est un principe fondamental de l’audit. Toute situation susceptible de compromettre l’impartialité de l’auditeur devrait conduire à la non-sélection de l'auditeur. On constate malheureusement des sociétés qui confient à la même équipe la mise en place du SMSI et la réalisation de l’audit interne. Comment, dans ces conditions, détecter des écarts significatifs que son propre collègue aurait pu négliger, tout en continuant à partager un café ensemble le lundi matin ?
Posture
Un auditeur doit établir un climat de confiance. Il s’agit d’adopter une approche constructive et pédagogique en se basant sur des constats factuels et une approche par les risques. Un autre écueil fréquent réside dans la qualité du rapport. Trop souvent, les constats restent vagues ou trop généraux, avec de nombreux points sensibles, points faibles (soft grading), on est très souvent on présence de non-conformités. Minimiser la réalité du niveau de conformité du SMSI ne rend pas service à l'audité, le réveil peut-être douloureux si l'auditeur est remplacé par un auditeur issu du secteur de la cybersécurité.
Etre auditeur, c'est être juste et ferme, si les gendarmes étaient des auditeurs 27001, on pourrait rouler à 300 km avec un petit point sensible : "freiner un peu Monsieur".
Chez X43C, nous sommes convaincus que l’audit interne doit être un véritable catalyseur de progrès. L'audité doit pouvoir se reposer et avoir toute confiance dans son équipe d'audit interne. X43C considère sa mission comme un partenariat stratégique avec son client. Un certificat ISO 27001 ne mentionne pas un niveau, le certificat est le même que l'on ait mis 10 mesures de sécurités sur son poste de travail ou que l'on est mis juste un antivirus, tant que l'on respecte l'exigence. Ça me rappelle la pochette surprise de la boulangerie des années 80, sur quoi on va tomber ?
Le choix d’un auditeur interne ISO 27001 est bien plus qu’une simple formalité. Il engage directement la crédibilité et la maturité de votre système de management de la sécurité. Un auditeur compétent et indépendant permet de transformer l’audit en un véritable levier d’amélioration, dans un contexte où l'actualité ne faiblit pas sur les attaques cyber.