1. Périmètre & objectif de l’audit : déterminer à l’avance ce qui sera évalué

Un audit ne se déroule sans problème que si l’on sait clairement à l’avance ce qui sera évalué. Définir son périmètre est donc l’une des étapes les plus importantes de votre préparation.

Le périmètre décrit quels processus, systèmes, activités, employés et sites sont inclus dans l’audit. Cela semble simple, mais devient rapidement complexe dans les organisations ayant plusieurs sites, des environnements cloud ou de nombreux fournisseurs externes.

Une portée bien définie doit être :

• alignée sur vos activités principales
• claire pour tous les participants
• logique et défendable auprès de l’auditeur

Un périmètre vague ou mal justifié entraîne presque toujours des questions supplémentaires et des discussions inutiles pendant l’audit.

Pour ISO 27001, l’ensemble du Système de Management de la Sécurité de l’Information (SMSI) est inclus dans le périmètre. Cela comprend, entre autres, les politiques, la gestion des risques, les mesures de sécurité et l’amélioration continue. Pour CyFun, l’accent est davantage mis sur les mesures concrètes et le niveau de maturité de votre organisation.

Quel que soit le framework choisi : documentez clairement ce qui est inclus et exclu de la portée. Cela évite les surprises et assure une tranquillité d’esprit pendant l’audit.

2. Analyse des risques : montrez que vous comprenez et surveillez les risques

Les audits ISO 27001 et CyFun reposent fortement sur une approche par les risques. L’auditeur n’attend pas un modèle théorique, mais une image réaliste de ce qui peut mal tourner dans votre organisation et de la manière dont vous y répondez.

Concrètement, cela signifie que votre organisation doit pouvoir expliquer quels risques sont pertinents pour son fonctionnement, pourquoi certains risques sont prioritaires, et comment les mesures choisies contribuent à la réduction des risques.

Une analyse des risques vivante dans l’organisation, qui évolue avec les changements et sert d’outil de pilotage, a beaucoup plus de poids qu’un exercice ponctuel. Un exercice purement théorique, réalisé uniquement pour l’audit, est rapidement décelé.

3. Rendre la documentation compréhensible et applicable

Les politiques et procédures sont nécessaires, mais ne sont pas une fin en soi. Lors d’un audit, l’accent est surtout mis sur le fait que les accords soient compréhensibles et effectivement appliqués. En d’autres termes : correspondent-ils à la réalité quotidienne des employés, et ces derniers les comprennent-ils ?

Les employés n’ont pas besoin de connaître chaque détail, mais doivent pouvoir expliquer en termes généraux ce que l’on attend d’eux en matière de sécurité de l’information.

Une politique que personne ne lit ou ne reconnaît augmente le risque au lieu de le réduire. Pour ISO 27001 comme pour CyFun, quelques documents sont obligatoires, mais leur nombre est plus limité que ce que beaucoup d’organisations imaginent.

Moins de documents, clairement rédigés et soutenus par l’organisation, inspirent davantage confiance à l’auditeur qu’un classeur surchargé rarement consulté.

Comment faire en sorte que les employés comprennent réellement votre politique ?
La clé réside dans une communication claire :

• Rédigez les politiques en langage clair, compréhensible par tous dans l’organisation.
• Évitez le jargon inutile et les raisonnements trop techniques. Les employés se concentrent d’abord sur l’exécution de leur rôle.
• Mettez l’accent sur ce qui est concrètement attendu : que doit-on faire, ne pas faire ou signaler ? Expliquez également pourquoi, sans trop détailler les aspects techniques.

Plus vos politiques sont simples et concrètes, plus elles sont susceptibles d’être effectivement appliquées. Et c’est exactement ce que recherchent les auditeurs.

4. Impliquer activement les employés et la direction

Comme indiqué dans la vidéo, un audit n’est pas une fête réservée au département IT. Les employés jouent un rôle crucial dans la sécurité de l’information. Ils doivent savoir quelles informations sont sensibles, comment les traiter et ce qui est attendu d’eux en cas d’incidents ou de déviations.

La direction joue également un rôle clé. Les auditeurs vérifient explicitement si les dirigeants assument leurs responsabilités, donnent des orientations et prennent des décisions basées sur les risques. Cela ne signifie pas que la direction doit connaître chaque détail, mais qu’il doit y avoir un engagement, un suivi et une gouvernance démontrables.

Lorsque la sécurité de l’information fait partie intégrante des réunions, de la prise de décision et des priorités, cela démontre la maturité de l’organisation. Cela rassure les auditeurs sur le fait que la sécurité n’est pas un exercice ponctuel, mais un élément permanent de la gestion de l’organisation.

5. Réaliser un audit interne et s’entraîner avant que cela ne compte vraiment

Un audit interne ou une évaluation préparatoire est l’une des étapes les plus sous-estimées mais aussi les plus précieuses avant un audit externe. C’est un moment pour examiner de manière critique votre fonctionnement sans pression externe.

Lors d’un audit interne, vous vérifiez si les accords sont effectivement respectés, si la documentation correspond à la pratique et si les responsabilités sont claires. Cela permet de détecter les risques ou erreurs éventuels à un moment où vous pouvez encore les corriger calmement.

Il est important que les résultats de cet exercice ne restent pas dans un tiroir. Les auditeurs ne se concentrent pas uniquement sur les constats, mais surtout sur ce qui en est fait. Les actions correctives sont-elles documentées ? Y a-t-il un suivi ? Des ajustements sont-ils apportés si nécessaire ?

Les organisations capables de démontrer qu’elles s’évaluent et s’améliorent montrent leur maturité. Cela pèse souvent plus qu’une situation où « tout semble en ordre » mais n’a jamais été testé.