2. 2
Section 11:
a. Conduite de la réunion d’ouverture
b. Recueil des informations
c. Conduite des tests d’audit avec les
procédures appropriées
d. Rédaction des constats d’audit et des
rapports de non-conformités
e. Revue de qualité des constats d’audit
L’audit d’étape 2
3. 3
6. Suites à l’audit
initial
5. Conclusion de
l’audit
4. L’audit
d’étape 2
3. Préparation
de l’audit
d’étape 2
2. L’audit d’étape
1
1. 1. Déclenchement
de l’audit
2,1. Visite sur site
2,2. Entretiens
avec les
principales
parties
prenantes
2,3. Revue des
documents
2,4. Audit de
l’étape 1
Rapport
3,1. Préparation
du plan
d’audit
3,2. Assignation
des auditeurs
3,3. Élaboration
des tests
d’audit
3,4. Documents
de travail
5,1. Préparation
des conclusions
5,2. Discussion
des conclusions
5,3. Réunion de
clôture
5,4. Préparation
du rapport
5,5. Diffusion du
rapport d’audit
5,6. Audit de suivi
5,7. Décision de
certification
5,8. Clôture de
l’audit
6,1. Activités de
surveillance
6,2. Audits de
surveillance
6,3. Audit de
renouvelleme
nt
Management of the audit risks
Gestion du programme d’audit
La communication durant l’audit
1,1. Revue de la
demande
1,2. Nomination
du responsable
de l’audit
1,4. Détermination
des objectifs
d’audit
1,5. Validation du
périmètre d’audit
1,6. Définir les
critères d’audit
1,7. Faisabilité de
l’audit
1,8. Contrat de
certification
1,9. Équipe
d’audit
1,3. .
Établissement du
contact initial
Phase 4: L’audit d’étape 2
4,1. La réunion
d’ouverture
4,2. Recueil des
informations
4,3. Réalisation des
tests d’audit
4,4. Rédaction des
constatations
d’audit et des
rapports de non-
conformités
4,5. Revue de la
qualité
4. 4
4.1 Conduite de la réunion d’ouverture
ISO 19011, clause 6.4.2 et ISO 17021-1, clause 9.4.2
Qui
Quoi
Quand
Où
Pourquoi
Présentation de l’équipe d’audit et des activités
d’audit
Premier jour sur le site d'audit avant de commencer
le recueil d'informations
Dans une salle de réunion
Confirmer le plan de l’audit
L’équipe d’audit, les principaux acteurs impliqués
dans la gestion du SMSI et les membre de la
direction de l’audité
5. 5
Conduite de la réunion d’ouverture(Suite)
Les sujets suivant sont généralement à l’agenda lors d’une réunion
d'ouverture:
La présentation des participants
Les objectifs, le champ et les critères de l’audit
La confirmation du plan d’audit et des questions logistiques
Présentation des méthodes et des procédures d’audit qui seront utilisées
Confirmation des circuits de communication officiels entre l’équipe d’audit
et l’audité.
Mise à disposition des ressources
Confidentialité, sécurité de l'information, questions de santé et de sécurité
Les informations sur la manière de traiter les constatations éventuelles au
cours de l’audit
Les informations sur tout système de retour d’information de l’audité sur
les constatations ou les conclusions de l’audit, y compris les réclamations
ou les recours
Information sur la réunion de clôture
6. 6
4,2. Recueil des informations
Exemples
Sources
d’information
Enregistreme
nts
Documents
Entretiens
Bases de
données et
site web
Indicateurs
Configurations
système
Observations
7. 7
4.3. Réalisation des tests d’audit selon
des procédures appropriées
1. Recueil des
informations
De façon continue durant
l’audit, l’équipe d’audit recueil
de l’information
1. 3.
2. Tests d’audit avec les procédures
d’analyse appropriées
Afin de construire des preuves d’audit,
l’auditeur réalise des tests à travers une série
de procédures telles que l’observation, la
revue documentaire, l’entretien, l’analyse et la
vérification technique
3. Corroboration et évaluation
des preuves
Pour établir des conclusions solides, un
auditeur cherchera systématiquement à
additionner les preuves recueillies afin
de confirmer ses observations
2.
Note importante : Le recueil d’information, les tests d’audit, la corroboration et
l’évaluation des preuves d’audit constituent un processus itératif
8. 8
4.4. Rédaction des constatations d’audit
et des rapports de non-conformités
ISO 19011, Clause 3.4 & 6.4.7
Il convient d'évaluer les preuves d'audit par rapport aux
critères d'audit pour élaborer les constats d'audit
Les constats d’audit peuvent indiquer la conformité, la
non-conformité et des opportunités d’amélioration ou
des bonnes pratiques
Détails dans la section 15
9. 9
4.5. Revue de qualité des constats d’audit
Constatations
d’audit
Conclusion
d’audit
Note: La revue de qualité des constatations d’audit sera expliqué en détail au cours du jour 4
La revue de qualité permet
d’assurer le respect des procédures
d’audit et la cohérence des
conclusions de l’audit
12. 12
ISO 27001 Lead Auditor – Formation
certifiante
Section 12:
a. Le comportement lors des visites sur
site
b. La communication durant l’audit
c. Les réunions de l’équipe d’audit
d. Le rôle des guides et observateurs
e. La gestion des conflits
f. Les aspects culturels de l’audit
g. La communication avec la direction
La communication durant l’audit
13. 13
6. Suites à l’audit
initial
5. Conclusion de
l’audit
4. L’audit
d’étape 2
3. Préparation de
l’audit d’étape
2
2. L’audit d’étape
1
1. 1. Déclenchement
de l’audit
2,1. Visite sur site
2,2. Entretiens
avec les
principales
parties
prenantes
2,3. Revue des
documents
2,4. Rapport de
l’audit de
l’étape 1
3,1. Préparation
du plan
d’audit
3,2. Assignation
des auditeurs
3,3. Élaboration
des tests
d’audit
3,4. Documents
de travail
6,1. Activités de
surveillance
6,2. Audits de
surveillance
6,3. Audit de
renouvelleme
nt
Gestion des risques d’audit
Gestion du programme d’audit
1,1. Revue de la
demande
1,2. Nomination
du responsable
de l’audit
1,4. Détermination
des objectifs
d’audit
1,5. Validation du
périmètre d’audit
1,6. Définir les
critères d’audit
1,7. Faisabilité de
l’audit
1,8. Contrat de
certification
1,9. Équipe
d’audit
1,3.
Établissement du
contact initial
La communication durant l’audit
4,1. La réunion
d’ouverture
4,2. Recueil des
informations
4,3. Réalisation
des tests d’audit
4,4. Rédaction
des constatations
d’audit et des
rapports de non-
conformités
4,5. Revue de la
qualité
5,1. Préparation
des conclusions
5,2. Discussion
des conclusions
5,3. Réunion de
clôture
5,4. Préparation
du rapport
5,5. Diffusion du
rapport
d’audit
5,6. Audit de suivi
5,7. Décision de
certification
5,8. Clôture de
l’audit
La communication durant l’audit
14. 14
Donner l’exemple
Comportement lors des visites sur site
Recommandations générales
Agir de façon professionnelle
Respecter les lois du pays et les politiques internes à l’organisme audité, être
ponctuel, suivre le plan d’audit et les bonnes pratiques d’audit
Avoir une apparence professionnelle
Adopter un style vestimentaire approprié à l’organisme audité
Ne pas laisser ses notes d’audit sans surveillance, utiliser un ordinateur portable
sécurisé, fermer sa session de travail lorsque l’on s’absente, etc.
Être poli et courtois
Faire preuve de civisme : remercier chaque personne pour sa contribution et sa
participation, respecter la culture de l’entreprise, etc.
1.
2.
3.
4.
15. 15
La communication durant l’audit
ISO 19011, clause 6.4.4ISO 19011, Clause 6.4.4
Communication Continue
Il convient que le responsable
de l'équipe d'audit informe
régulièrement l'audité et, si
nécessaire, le commanditaire
de l'audit, de l'avancement de
l'audit et de toute difficulté qui
surviendrait en cours d’audit.
Formelle
Informelle
Décentralisée
Centralisée
16. 16
La communication orale
La majorité des communications effectuées durant un
audit sont de nature orale
Efficace en terme de temps: Commentaires
immédiats et transmission rapide des informations
Permet d’établir de bonnes relations: Améliore
l’échange d’informations entre les audités et
l’auditeur
Flexible: Favorise les interactions
17. 17
La communication orale
Communication orale et documents de travail
Bien que les résultats de l’audit
soient communiqués oralement,
les échanges doivent aussi être
rapportés par écrit dans des
documents de travail, avec
toutes les réponses
Si nécessaire,
l’auditeur peut
demander une
confirmation
écrite
18. 18
Les réunions de l’équipe d’audit
Réunion du matin
Ajuster et confirmer le plan
d’audit de la journée
Prévoir et discuter des
problèmes potentiels
Bonnes pratiques
Il est recommandé de planifier une
réunion de 15 à 30 minutes le matin
et en fin de journée pour faire le
point sur le déroulement de l’audit et
les problèmes rencontrés
Réunion de fin de journée
Discuter des problèmes
rencontrés
Effectuer la revue de qualité
des points audités
19. 19
Le rôle des guides et observateurs
ISO 19011, clause 6.4.4ISO 19011, Clause 6.4.5
Responsabilités des guides
Coordonner et faciliter les activités
d’audit
S’occuper des aspects logistiques
S’assurer du respect des règles de
santé et sécurité au travail
Être témoin de l'audit pour le compte
de l’audité
Note: Les guides et observateurs ne doivent pas
s’ingérer dans les discussions ou influencer
l’audit
Présence des observateurs
La présence des observateurs dans
l’équipe d’audit doit être approuvée
par l’audité
Ceux-ci peuvent être des auditeurs en
formation ou un membre de
l’organisme de certification effectuant
un contrôle de qualité de l’audit
.
20. 21
La gestion des conflits
Gestion de conflits entre les auditeurs
Manque de coopération / antagonisme
Entretient inefficace
Temps perdu
Conflit interne
21. 22
Gestion de conflits (suite)
Gestion des conflits entre les auditeurs
Divergence d’opinions Différence de méthodes de travail
Attitude au travail
Conflit personnel
22. 23
Les aspects culturels de l’audit
Les aspects culturels doivent être pris en
compte lors de chaque étape de l’audit:
Un auditeur doit être sensibilisé aux différents
aspects culturels afin d’éviter de possibles conflits ou
malentendus
En même temps, un auditeur doit rester impartial
durant l’exécution de l’audit
Un auditeur doit être capable de s’exprimer de façon
compréhensible, spécialement quand il est question
de la langue
23. 24
Conseils pratiques – aspects culturels
Il convient que les aspects culturels significatifs soient
évalués pendant l’étude de faisabilité
Il est préférable de choisir des auditeurs familiers des
langues et des coutumes locales
Il convient que les auditeurs essaye toujours de
s’adapter à la culture locale tout en s’assurant que cela
n’affecte pas leur objectivité ni les résultats de l’audit
La règle d’or est de ne jamais se laisser embarquer dans
les discussions religieuses ou politiques
25. 26
La communication avec la direction
L’auditeur doit s’entretenir avec la direction en utilisant le
langage d’affaires approprié aux cadres supérieurs afin de :
1. Valider l’engagement de la direction en matière de
gestion de la sécurité de l’information
2. Établir une preuve de conformité avec la norme ISO
27001 sur les responsabilités de la direction
Entretien avec la direction
26. 27
La communication avec la direction
Principaux sujets à traiter
1. Contexte des activités générales de l'organisation et des risques auxquels
elle est confrontée (4.1)
2. Objectifs et plans du SMSI (6.2)
3. Domaine d’application du SMSI (4.3)
4. Politique de sécurité de l’information (5.2)
5. Établissement des rôles, des responsabilités et des autorités pour la
sécurité de l'information (5.3)
6. Mise à disposition des ressources nécessaires (5.1c, 7.1)
7. Compétence et sensibilisation (7.2 and 7.3)
8. Critères d’acceptation du risque (6.1.2a)
9. Approbation par les propriétaire des risques des risques résiduels (6.1.3f.)
10. Revue de direction du SMSI (9.3)
11. Les résultats d’audit (9.3)
29. 30
ISO 27001 Lead Auditor – Formation
certifiante
Section 13:
a. Vue d’ensemble du processus d’audit
b. Procédures de collecte et d’analyse de preuves
c. Les procédures d’audit: l’observations
d. Les procédures d’audit: la revue documentaire
e. Les procédures d’audit: l’entretien
f. Les procédures d’audit: l’analyse
g. Les procédures d’audit: la vérification technique
h. Les procédures d’audit: la corroboration
i. Les procédures d’audit: l’évaluation
Les procédures d’audit
30. 31
Vue d’ensemble du processus d’audit
ISO 19011, Clause 6.4.6
Source d’information
Utilisation des procédures
d’audit appropriées y compris
l’échantillonnage
Revue
Preuves d’audit
Conclusion de l’audit
Constats d’audit
Évaluation par rapport aux
critères d’audit
31. 33
Procédures de collecte et d’analyse de
preuves
A. Observations
B. Revue
documentaire
C. Entretien
D. Analyse
E. Vérification
technique
F. Corroboration G. Évaluation
Procédures de
collecte de
preuves
Procédures
d’analyse des
preuves
32. 34
A. Les procédures d’audit: l’observation
L'observation directe est celle où l’auditeur constate un
phénomène à partir de ses sens, sans volonté de les
modifier, à l’aide de procédures appropriées
Par exemple, l’auditeur observe:
Le déroulement d’un processus de mise à jour d’un
logiciel
Les performances d’un employé
L’inventaire des ordinateurs
La présence d’un dispositif de prévention d’incendie
33. 35
Types d’observation
Observation générale
Permet de valider l’existence d’un processus
ou d’un groupe de mesures de sécurité en
place et d’obtenir un niveau de compréhension
suffisant du fonctionnement de ceux-ci
Exemples L’auditeur visite le centre de
traitement de données
Observation détaillée
Permet l'obtention d'informations détaillées
lesquelles aident à évaluer et à déterminer si
les contrôles mis en oeuvre fonctionnent de
manière efficace, continue et sans erreurs.
Exemples L’auditeur écoute plusieurs appels
en direct adressés au centre de service
34. 36
Documentation des observations
L’auditeur doit documenter ses observations.
Cela peut être effectuer de diverses manières:
Prise de notes
Photocopies de documents
Prise de photos ou enregistrements audio/vidéo
(généralement à éviter)
35. 37
B.Les procédures d’audit Revue
documentaire
La revue documentaire consiste en un examen
systématique et méthodique de documents textuels
L’auditeur doit évaluer la conformité des documents en
terme de :
Contenu
Format
Gestion du processus documentaire
36. 38
C. Les procédures d’audit: l’entretien
Entretien/interview : Poser des questions (orales ou
écrites) aux employés et aux autres personnes
appropriées (tiers) dans le but de recueillir des preuves
d’audit
Pour être efficace, un intervieweur doit:
Éviter d’influencer les informations
Prendre des notes rapidement
Corroborer l’information chaque fois que c’est
possible
37. 39
Types d’entretien
Entretien général
Permet de valider les aspects stratégiques et
tactiques ainsi que le type de mesures de
sécurité
Exemples Entretien avec le directeur des
ressources humaines pour comprendre les
processus de gestion des RH
Entretien détaillé
Permet l'obtention d'informations détaillées
lesquelles aident à évaluer et à déterminer si
les contrôles mis en oeuvre fonctionnent de
manière efficace, continue et sans erreurs.
Exemples Entretien avec un assistant
administratif du département des ressources
humaines pour comprendre et valider la
manière dont sont conservés les dossiers des
employés
38. 40
Entretien individuel et entretien de groupe
Entretien
Les entretiens individuels sont
préférables car l’auditeur peut
concentrer ses efforts sur une seule
personne et obtient généralement
plus d’informations détaillées
L’utilisation des entretiens de groupe doit
être limitée, à moins que l’auditeur veuille
valider l’interaction et la dynamique entre
les différents membres du groupe
Individuel De groupe
39. 41
Préparer un entretien
1. Définir les objectifs à atteindre lors de l’entretien
2. Établir la liste précise des thèmes/sujets à couvrir
3. Écrire un plan d’entretien avec une liste de contrôle ou
un questionnaire
4. Déterminer les personnes aux compétences et
fonctions appropriées
5. Prendre rendez-vous
6. Préparer les documents de travail
La préparation est la clé pour réussir un entretien
de façon professionnelle et s’assurer de couvrir
l’ensemble des points visés
40. 42
Démarrer un entretien
1. Expliquer les objectifs de l’entretien et les sujets à
couvrir
2. Informer sur le respect de la confidentialité
3. Expliquer le but des prises de notes
4. Initier l’entretien en demandant aux personnes de
décrire leur implication dans le SMSI ainsi que leurs
rôles et leurs responsabilités
L'auditeur doit avoir une attitude d'écoute active
41. 43
Utiliser des questions ouvertes et éviter les
questions fermées ou guidées
Conduire un entretien
S’assurer de couvrir l’ensemble des sujets en
maîtrisant le temps
Prendre des notes durant l’entretien
Poser des questions pour clarifier une réponse ou
une situation
42. 44
Les questions d’entretien
L’auditeur doit surtout utiliser les questions ouvertes
telles que :
Qui, quoi, où, pourquoi, quand, comment ?
Montrez-moi, dites-moi, expliquez-moi
L’auditeur devrait éviter :
Les questions fermées (réponses par oui/non)
Les questions orientées (avec des présupposés)
On peut utiliser les questions fermées pour débuter un
point, puis poursuivre avec des questions ouvertes
Exemple: Avez-vous une politique SMSI ?
Expliquez-moi……
43. 45
Conclure un entretien
Les résultats de l’interview doivent être résumés et revus
avec la personne interviewée
Il convient que l'intervieweur offre à l'interviewé la
possibilité d'ajouter des commentaires
Les personnes interviewées doivent être remerciées
pour leur participation et leur collaboration
Les documents/actions que l’interviewé a promis de
fournir doivent être notés au cours de l’entretien et
récapitulés à la fin de l’entretien
44. 46
Après un entretien
Compléter les documents de travail avant de passer à
une tâche
Envoyer un courriel de remerciement avec un compte
rendu de l’entretien comprenant la liste des
documents/actions à fournir de la part de l’intervenant à
une date d’échéance donnée.
Effectuer un suivi sur les éléments convenus lors de
l’entretien
45. 47
Problèmes potentiels lors des entretiens
Problèmes et piste de solutions
Propos invraisemblables
S’assurer de la compréhension des questions
Corroborer les informations
L’audité veut choisir les interviewés
Rappeler les termes de la lettre d’engagement
Négocier le temps de disponibilité du personnel
Interférence du guide
Rappeler au guide son rôle d’observateur
L’exclure des entretiens si le problème persiste
Non disponibilité de l’interviewé
Réajuster le plan d’audit
On peut en profiter pour l’observer dans ses
tâches
Réponses non pertinentes
Rappeler l’objectif de l’entretien
Poser des questions plus spécifiques
47. 49
Procédure d’audit: analyse
Une analyse consiste en un examen systématique et
méthodique de données ou d’informations afin
d’identifier, de déterminer et d’analyser des relations ou
des tendances
C’est l’étude d’un tout en étudiant ses parties
En terme statistique, c’est
l’étude d’une population en étudiant
des échantillons représentatifs
48. 50
Analyse statistique
Principales définitions
Population
Caractéristique (Variable) Échantillon
Unité
Ensemble de personnes,
d'objets ou d'éléments sur
lesquels l'analyse statistique
reposera
Caractéristique concernant
chaque unité de la population et
sur laquelle l'auditeur veut fonder
une étude
Sous-ensemble des individus de
la population étudiée
Chacun des éléments de la
population
Exemples Un auditeur analyse 30 ordinateurs (échantillon) à partir d'un centre informatique
contenant 500 (population) ordinateurs (unité) pour vérifier qu'ils sont identifiés par un numéro
de série (caractéristique) et qu'ils ont une protection antivirus (caractéristique) à jour
49. 51
Distribution normale
Exemple: délai de réponse à
l’ouverture d’un ticket d’incident [σ]= écart type (ex: 30 min.)
[μ]= moyenne (ex: 3 heures)
99,73% de la population est
dans le 3σ de la moyenne
95,45% est
dans le 2σ
68,27%
dans le 1σ
50. 52
Exemples d’analyses fréquentes
Voici une liste d’éléments souvent validés en usant de
l’échantillonnage au cours d’un audit ISO 27001:
Compétence et sensibilisation des employés (7.2 et 7.3)
Diffusion et compréhension de la politique de sécurité de
l’information (A.5.1.1)
Fonctions et responsabilités liées à la sécurité de
l’information (A.6.1.1)
Propriété des actifs (A.8.1.2)
Mesures de protection contre les logiciels malveillants
présent sur les postes de travail (A.12.2.1)
Mesures de sécurité liées au contrôle d’accès (A.9)
Mesures de sécurité liées à la gestion des incidents
(A.16)
52. 54
Processus d’échantillonnage
Principales méthodes
Utilisation
Données contenues
dans un système
d’informations
Quand les sous-
ensemble sont très
différents
Intuition de l’auditer
Lorsqu’il est difficile
de déterminer la
population
Méthode pour
sélectionner de
vastes échantillons
Aléatoire
Stratifiée
Basé sur le
jugement
Sélection en
bloc
Aléatoire
systématique
Sélection de
l’échantillon
Basé sur le hasard
Sélection par groupe
de sous-ensembles
Basé sur
l’expérience et les
connaissances
Sélection d’un bloc
d’éléments comme
population
Sélection basé sur
un intervalle fixé
Avantages
Statistiquement le
plus fiable
Chaque sous-
ensemble est
représenté
Simple et très rapide
Simple et rapide
Simple à effectuer et
statistiquement
fiable
Inconvénients
Plus long à effectuer
Peut conduire à de
fausses conclusions
Non valide
statisquement
Peut ne pas être
représentatif de la
population
Peut être long à
effectuer
Méthode
d’échantillonnage
53. 56
Processus d’échantillonnage
1. Définir la population
2. Déterminer la méthode d’échantillonnage
3. Déterminer la taille de l’échantillon
4. Exécuter le plan d’échantillonnage
5. Évaluation des résultats
54. 57
Risques ou erreurs d’échantillonnage
Évaluation des
erreurs
Risques ou
erreurs liés à
l'échantillonnage
Risques ou
erreurs liées à
l’auditeur
55. 58
Utilisation d’une table d’échantillonnage
Mode opérationnel
de la mesure à
audité
Fréquence de
survenue de
l’opération
Nombre minimum
de sélections
Manuel
Plusieurs fois par jour
( ou pop : +366.
25
Manuel
Quotidienne
( ou pop : 53-365.
15
Manuel
Hebdomadaire
( ou pop : 13-52.
5
Manuel
Mensuelle
( ou pop : 5-12.
2
Manuel
Annuelle/Trimestrielle
( ou pop : 1-4.
1
Automatisé
Examiner l’application de chaque mesure de
sécurité automatisée
56. 59
Exemple d’échantillonnage systématique
1. Définir la population
Liste de toutes les demandes de changement
Exemple: 400 demandes d’accès durant l’année
2. Déterminer la taille de l’échantillon
Fréquence observée : + d’une fois par jour, donc
échantillon de 25
3. Exécuter le plan d’échantillonnage
400/25= 16
1er item choisi aléatoirement (ex: à la 5ème
demande, 2ème élément = 21, 3ème élément =
37…)
Choisissez tous les 16 éléments
57. 60
Échantillonnage statistique
ISO 19011, Annexe B.5.3
Si l’auditeur décide de recourir à l’échantillonnage fondé sur les statistiques,
il convient d’établir le plan d’échantillonnage sur les objectifs d’audit et sur
les informations connues concernant les caractéristiques de la population
totale sur laquelle les échantillons doivent être prélevés.
Il convient que le plan d’échantillonnage détermine si les résultats examinés
sont susceptibles d’être obtenus par attributs ou par variables.
Les éléments clés affectant le plan d’échantillonnage pour audit sont les
suivants:
la taille de l’organisme;
le nombre d’auditeurs qualifiés;
la fréquence annuelle des audits;
la durée d’un audit;
tout niveau de confiance externe requis.
58. 61
E. Procédure d’audit: Vérification
technique
Afin de valider l’efficacité technique d’un processus ou
d’une mesure de sécurité, l’auditeur peut demander
d’assister à la réalisation d’un processus complet tel
que:
Analyse des configurations
Production réelle (ou simulation)
Balayage
Par exemple, être présent lors de la restauration d'une
sauvegarde
L'auditeur ne doit jamais effectuer les opérations liées à
un test et doit faire attention à limiter ses impacts sur
l'organisation
59. 62
Vérification technique - le balayage
Le balayage, «scanning» en anglais, est effectué
habituellement à l’aide de Techniques d’audit assistées
par ordinateur (CAATs)
Le balayage est une recherche systématique de tous
les éléments liés à une mesure de sécurité afin de
découvrir les écarts potentiels
Le balayage sert à trouver les écarts et les
exceptions contrairement aux autres procédures
qui mesurent la tendance centrale (si une mesure
de sécurité est généralement suivie)
Lors de l’audit d’un SMSI, les CAATs sont rarement
utilisés
60. 65
F. Procédure d’audit: Corroboration
Corroborer, c’est vérifier les informations jusqu’à obtenir
un niveau d’assurance raisonnable
L’auditeur peut :
Poser les mêmes questions à différentes personnes
et faire une comparaison de leurs réponses
Comparer les réponses d’entretiens avec la
documentation
Comparer les documents ou notes d’entretiens avec
des observations directes
Demander une corroboration des faits par une
source externe comme un client ou un fournisseur
61. 66
G. Procédure d’audit: l’évaluation
Évaluer, c’est l’acte par lequel l’auditeur juge les
résultats des procédures précédentes afin de s’assurer
que les preuves sont suffisantes, appropriées et fiables
L’auditeur doit évaluer la qualité et la quantité
d’information
« A-t-on assez de preuves fiables et pertinentes
pour avoir une assurance raisonnable ? »
Les preuves de l’audit doivent être évaluées par rapport
aux critères de l’audit afin de générer les constatations
d’audit
63. 68
ISO 27001 Lead Auditor – Formation
certifiante
Section 14:
a. Élaboration de plans de tests d’audit
b. Exemples de plans de test d’audit
Élaboration de plans de tests d’audit
64. 69
Évaluer la qualité et le caractère suffisant des preuves
Élaboration de plans de tests d’audit
Recommandations générales
Élaboration de plans de tests d’audit
Élaborer des plans de test d’audit en sélectionnant différentes procédures
applicables pour chaque clause à auditée.
Utiliser une combinaison de procédures
D'une manière générale, plus d'un test d'audit est utilisé pour évaluer une clause
La quantité de tests d’audit requis dépendra de la matérialité du processus à auditer
ainsi que de la fiabilité et du caractère suffisant des preuves recueillies
Regrouper les procédures de test
Toujours essayer de regrouper les procédures de test d’audit destinées au même
individu afin d’éviter de multiples rencontres et ainsi perturber les opérations
1.
2.
3.
4.
65. 70
Plans de tests d’audit
Exemples
Dans cette section, six exemples de plan de tests d’audit
sont présentés
À partir de ces exemples, un auditeur devrait être en
mesure de créer ses propres plans de tests d’audit en
combinant les différentes procédures d’audit de collecte
de preuves:
Observations
Revue des documents
l’entretien
analyse
Vérification technique
66. 71
Exemple: Maîtrise des informations
documentées
ISO 27001, Clause 7.5.3
Les informations documentées exigées par le système de management de la sécurité de l’information et par la
présente Norme internationale doivent être contrôlées pour s’assurer:
a) qu’elles sont disponibles et conviennent à l’utilisation, où et quand elles sont nécessaires; et
b) qu’elles sont correctement protégées (par exemple, de toute perte de confidentialité, utilisation inappropriée ou
perte d’intégrité).
Pour contrôler les informations documentées, l’organisation doit traiter des activités suivantes,
quand elles lui sont applicables:
c) distribution, accès, récupération et utilisation;
d) stockage et conservation, y compris préservation de la lisibilité;
e) contrôle des modifications (par exemple, contrôle des versions); et
f) durée de conservation et suppression.
Observations
Observer comment les employés assurent la protection de l’information documentée et si ces
actions sont conformes aux politiques et procédures de l’organisme.
Document
La politique sur la gestion de l'information documentée et les procédures sur la gestion du cycle
de vie: identification, stockage, sauvegarde, protection, accessibilité et conservation.
Entretien
L’auditeur peut interviewer un membre de la direction pour confirmer les politiques et les besoins
de l’organisme en matière d’information documentée, le personnel responsable de la gestion des
informations et des archives afin d’obtenir les détails de gestion de l'information documentée.
Vérification
technique
L’auditeur peut faire une vérification technique en validant la structure électronique de
classification et de stockage des enregistrements, vérifier les mécanismes de protection des
enregistrements, observer la compilation d’un rapport de journaux.
Analyse
Sélectionner les échantillons d'informations documentés et vérifiez s'ils sont conformes à la
structure de la documentation et aux critères de la politique sur les informations documentées.
67. 72
Exemple 2: La sécurité dans les accords
conclus avec les fournisseurs
ISO 27001, Annexe A.15.1.2
Les exigences applicables liées à la sécurité de l’information doivent être établies et
convenues avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou
fournir des composants de l’infrastructure informatique destinés à l’information de
l’organisation.
Observation N/A (excepté pour un auditeur interne)
Document
Politiques internes et lignes directrices sur la gestion des fournisseurs,
contrat-type incluant les clauses relatives à la sécurité de l’information,
principaux contrats signés, rapport de suivi/performance fourni par les
fournisseurs, rapports internes sur la surveillance des services offerts par
les fournisseurs
Entretien
Membre de la direction (pour confirmer les lignes directrices sur les
accords avec les fournisseurs) et personnel qui s’occupe des relations
avec les fournisseurs (pour valider si les lignes directrices sont suivies)
Vérification
technique
N/A
Analyse
Sélectionner un échantillon des accords conclus avec les fournisseurs et
valider s’ils ont respecté les lignes directrices de l’organisme
68. 73
Exemple 3: Sauvegarde des informations
ISO 27001, Annexe A.12.3.1
Des copies de sauvegarde de l’information, des logiciels et des images systèmes
doivent être réalisés et testés régulièrement conformément à une politique de
sauvegarde convenue.
Observation
Opération de sauvegarde en cours et emplacements où sont conservés les
copies (sécurité physique et environnementale, étiquetage des rubans)
Document
Politique (définition des niveaux de sauvegarde nécessaires, adéquation
avec les critères de sécurité et du plan de continuité des activités), les
procédures (description des opérations de sauvegarde et de restauration,
planification des sauvegardes et de leur conservation, test d’essai) et
enregistrements
Entretien
Directeur des opérations (pour valider la stratégie et la politique de
sauvegarde) et un opérateur (pour valider la compréhension et le respect
des procédures)
Vérification
technique
Vérifier les configurations des systèmes de prise de sauvegarde,
mécanismes de sécurité (mots de passe, chiffrement) et demander de
restaurer un fichier archivé
Analyse
Procédé par échantillon si le processus est manuel (vérifier si les entrées ont
bien été documentées dans le registre des sauvegardes)
69. 74
Exemple 4: Enregistrement et
désinscription des utilisateurs
ISO 27001, Annexe A.9.2.1
Un processus formel d’enregistrement et de désinscription des utilisateurs doit être mis
en œuvre pour permettre l’attribution des droits d’accès.
Observation Observer l’inscription et/ou la désinscription des accès d’un utilisateur
Document
Politique sur la gestion des accès, formulaires d’approbation, résultats de
la révision des accès effectuée par les propriétaires, déclaration des
utilisateurs attestant leur compréhension de leurs responsabilités, matrice
des droits d’accès
Entretien
Avec le directeur du centre de service (pour confirmer les aspects
couverts par la politique sur la gestion des accès) et un analyste du
centre de service (pour valider la compréhension et le respect de la
politique)
Vérification
technique
Vérifier les configurations et le fonctionnement des systèmes
d’enregistrement des utilisateurs
Analyse
Sélectionner un échantillon de demandes d’accès et valider si la
politique/procédure de gestion des accès a été suivie
70. 75
Exemple 5: Gestion des vulnérabilités
techniques
ISO 27001, Annexe A.12.6.1
Des informations sur les vulnérabilités techniques des systèmes d’information en
exploitation doivent être obtenues en temps opportun, l’exposition de l’organisation à ces
vulnérabilités doit être évaluée et les mesures appropriées doivent être prises pour traiter
le risque associé.
Observation
Observer un technicien procédant à des opérations liés à la gestion des
vulnérabilités techniques (test d’intrusion, analyse des vulnérabilités,
etc.)
Document
Procédure de gestion des vulnérabilités techniques, inventaires des
biens informatiques, liste des vulnérabilités techniques potentielles et
traitées, liste de distribution des éditeurs de logiciels sur les vulnérabilités
Entretien
Avec le responsable de la sécurité de l'information (pour confirmer la
procédure de gestion des vulnérabilités techniques) et les techniciens
(pour valider leur application)
Vérification
technique
Vérifiez les dernières versions installées sur les systèmes et le traitement
des vulnérabilités
Analyse
Sélectionner un échantillon de vulnérabilités techniques et valider si elles
ont été traitées selon les critères de la procédure de gestion des
vulnérabilités
71. 76
Exemple 6: Signalement des événements
liés à la sécurité de l’information
ISO 27001, Annexe A.16.1.2
Les événements liés à la sécurité de l’information doivent être signalés dans les
meilleurs délais par les voies hiérarchiques appropriées.
Observation
Assister au signalement d’un événement liés à la sécurité de
l’information (si cela se produit durant l’audit) et observer son traitement
par l'audité
Document
Procédure de signalement des événements et de remontée des
informations liées à la sécurité de l’information, rapport de signalement,
plan de sensibilisation
Entretien
Le responsable de la sécurité ou du centre de service (pour confirmer le
processus et la procédure de signalement)
Vérification
technique
Vérifiez la configuration des alertes automatisées intégrées dans les
systèmes d'information et testez leur efficacité
Analyse
Sélectionner un échantillon d’événements de sécurité (rapports de
signalement) et vérifier s’ils ont été traités selon la procédure de
signalement des événements et de remontée de l’information
74. 79
ISO 27001 Lead Auditor – Formation
certifiante
Section 15:
a. Constatations d’audit
b. Types de constatations d’audit
possibles
c. Rédaction des constatations d’audit
d. Rédaction d’un rapport de non-
conformités
e. Le bénéfice du doute
Rédaction des constatations d’audit et des rapports de non-
conformités
75. 80
Constatations d’audit
ISO 19011, Clause 3,4
Évaluation des
preuves par
rapport aux
critères
Constatations d’audit
Résultats de l’évaluation
des preuves d’audit par
rapport aux critères
d’audit
Note: Les constatations
d’audit peuvent indiquer
la conformité ou la non-
conformité ou peuvent
conduire à
l’identification des
possibilités
d’amélioration
76. 81
Constatations d’audit
Types de constatations d’audit possibles
Non-conformité à une
exigence requise ou échec
total de son efficacité
Une situation ou un
élément observé
pendant l’audit peut
être sujet à une
amélioration continue
sans constituer pour
autant une non-
conformité
Tous les aspects relatifs
aux exigences d’une
norme ont été satisfaits
Un aspect de la
conformité à une
exigence n’a pas été
rempli
Conformité Observation Non-conformité
mineure
Non-conformité
majeure
77. 82
Types de constatations d’audit possibles
Non-conformité
Selon la définition de la norme ISO 9000 (clause 3.6.9),
une non-conformité est la « non-satisfaction d'une
exigence »
On distingue deux types de non-conformité
Non-conformité mineure
Non-conformité majeure
78. 83
Types de constatations d’audit possibles
Non-conformité mineure
Exécution partielle (un aspect de l'exigence n'a pas été
rempli) de la mise en œuvre d’une mesure de sécurité:
Soulève certains doutes quand à l’adéquation du
SMSI à protéger la confidentialité, l’intégrité ou la
disponibilités d’informations sensibles
Présente un risque mineur mais non négligeable
pour les parties intéressées de l'organisation
79. 84
Types de constatations d’audit possibles
Non-conformité mineure- exemples
Des contradictions ont été observées dans le rapport
d’appréciation des risques
Des employés ayant des responsabilités dans le SMSI
n’ont pas suivis les formations adéquates
L'accès au logiciel du système d'exploitation est
contrôlé, mais pas documenté
Des procédures n'ont pas été revues et mises à jour
dans le délai prévu par l'organisme
80. 85
Types de constatations d’audit possibles
Non-conformité majeure
Une clause ou une mesure requise n’a pas été abordée, ou
il y’a une défaillance totale au niveau de son efficacité :
Telle que cela soulève des doutes significatifs
quant à l’adéquation du SMSI à protéger la
confidentialité, l’intégrité ou la disponibilité des
informations sensibles
Cela représente un risque inacceptable pour les
parties intéressées de l’organisme
81. 86
Types de constatations d’audit possibles
Non-conformité majeure - exemples
Absence d’engagement de la direction
Le personnel responsable de gérer les mesures de
sécurité critiques du SMSI n’a pas les qualifications
nécessaires
Absence d’action corrective suite à des incidents
récurrents
L’appréciation des risques n’inclut pas l’un des éléments
obligatoires (identification des risques, analyses,
évaluation, etc.)
Clause exigée non abordée
Échec total d’une mesure de sécurité déclarée en
annexe A
82. 87
Types de constatations d’audit possibles
Observation
Définition: Une observation est
une situation ou un élément
découvert lors de l’audit qui
pourrait faire l’objet d’une
amélioration continue sans pour
autant constituer une non-
conformité
Les observations sont souvent
associées à des
recommandations pour
améliorer l’efficacité du
système de management
L’audité n’a aucune obligation
de mettre en œuvre des actions
correctives suite aux
observations mentionnées dans
le rapport d’audit
83. 88
Types de constatations d’audit possibles
Anomalie
Définition: Une anomalie est une déviation accidentelle ou isolée
d’une exigence. C’est une déviation par rapport aux cibles établies par
l’organisme, mais qui demeure dans des valeurs établies et acceptées
(seuil acceptable)
Remarque importante : Une anomalie ne constitue pas nécessairement
une non-conformité
84. 89
Rédaction des constatations d’audit
Équilibre entre les preuves et les critères
Preuve Critères
Constatations
d’audit
85. 90
Rédaction d’un rapport de non-
conformités
Si une constatation d’audit est une non-conformité,
l’auditeur doit la documenter dans un rapport de non-
conformité
Il y a 3 éléments pour bien documenter une non-
conformité :
1. Description des exigences pour lesquelles la non-
conformité a été détectée (les critères de l’audit)
2. Description de la non-conformité observée (la
preuve appuyant les constatations)
3. Rapport de non-conformité (mineure ou majeure)
86. 91
Rédaction d’un rapport de non-
conformités
Exemple:
RAPPORT DE NON-CONFORMITÉ
No. de non-conformité:
3.
Client : Thalia Technologies
N° dossier :
34527.
Processus: Gestion des
actifs
Numéro de clause : A.8.1.1 Site : Montréal
Critères d’audit Les actifs associés à l’information et aux moyens de traitement de l’information
doivent être identifiés et un inventaire de ces actifs doit être dressé et tenu à jour.
Description de la non-conformité observée : Sur un échantillon de 25 actifs analysés venant de la
liste des actifs, seules 5 actifs étaient correctement identifiés.
Recommandation: Établir un inventaire de tous les actifs importants et identifier clairement les actifs
en incluant, par exemple : le type, le propriétaire, la taille, l’ emplacement, les informations relatives à
la sauvegarde de l’actif ainsi que sa valeur pour l’organisme.
Auditeur R. St-Germain Confirmation du représentant de l’audité :
Non-conformité présentée à Monsieur R. Smith
et confirmée le 3 juin 2007
Non-conformité
Majeure*
Mineure*
Date: 5 juin 2007
87. 92
Le bénéfice du doute
Bénéfice du doute et non-conformité
Le but d’un audit est de vérifier la conformité, et non de
chercher des non-conformités
S’il n’y a pas de preuve de non-conformité
Il n’y a pas de non-conformité
Mais s’il y a une preuve de non-conformité
On doit documenter une non-conformité