Audit de conformité

L’audit de conformité est un outil d’évaluation et de diagnostic de la conformité par rapport à un référentiel établi en matière de sécurité de l’information. Cet outil a pour vocation de vérifier la mise en œuvre des pratiques de sécurité en les confrontant aux exigences de sécurité issues de ce référentiel et identifier les écarts présentant les vulnérabilités du système audité. L’audit de conformité permet de vérifier son alignement vis-à-vis de règles internes ou externes, ou de contrôler autrui sur la prise en compte de vos règles.

Pour atteindre son but, l’audit de conformité doit suivre des méthodes reconnues et être effectué par des auditeurs spécialisés et compétents. Le processus d’audit est un processus méthodique, indépendant et documenté permettant d’obtenir des preuves d’audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit issues des exigences sont satisfaits. Cette démarche permet de manière ordonnée de prendre une photo à un instant donné de son taux de conformité et potentiellement du reste à faire.

Cet audit concerne toute société souhaitant avoir un avis extérieur sur sa conformité vis-à-vis de sa politique de sécurité de l’information, de référentiels reconnus, d’une obligation légale, règlementaire ou contractuels. Cette démarche dévoile en général des atouts et des faiblesses jusqu’alors inconnues ou inconsidérées. Ce bilan est complété dans le rapport par un plan d’action corrective à mettre en œuvre afin de se mettre en conformité, d’améliorer sa sécurité et ainsi éviter des incidents, des infractions, ou une atteinte à l’image de l’organisme.

L’audit se déroule selon un plan du type découpé en trois parties :

Les activités de préparation précédant l'audit afin d’établir un ensemble de point de contrôle sur la base des référentiels techniques et réglementaires applicables dans le domaine d’activité du client et sur le périmètre de l’audit ;

Les activités effectuées pendant la visite du site audité (l'audit lui-même) durant lequel nous analysons l’organisation et les pratiques de sécurité afin de récolter par le biais d’entretien et de constatations, les preuves nécessaires sur chacun des points de contrôle ;

Les activités effectuées postérieurement à l'audit, permettant de confronter dans un rapport les preuves récoltées avec les points de contrôle pour identifier les écarts mineurs ou majeurs vis-à-vis des exigences de sécurité issues de la conformité obligatoire.

Un exemple des principaux référentiels : ISO 2700x, RGS, PSSIE, IGI 1300, Solvency II, Référentiel interne (Politique de sécurité, guide de développement sécurisé, etc.), clauses de sécurité contractuelles, Hébergement de données de santé, Référentiels et décret de la loi de programmation militaire, PCI-DSS, Guides de l’ANSSI, Plan Vigipirate, Plan d’action SSI santé (Instruction n°SG/DSSIS/2016/309 du 14 octobre 2016), ISO 15408 (Common Criteria), etc.