Le jour J est arrivé, vous avez travaillé pendant plusieurs mois sur l'implémentation de votre système de management. Vous avez implémenté vos mesures de sécurité, rédigé vos politiques. Vous avez dû batailler pour changer certaines (mauvaises) habitudes.
Il est à présent temps de présenter ce travail à un auditeur externe et s'exposer à son évaluation.
Les 3 coups viennent de retentir, il est temps de se lancer !
Dans cet article, nous allons particulièrement nous intéresser au processus de certification sur la norme ISO27001/27701.
Au préalable
Avant de vous lancer dans la grande aventure de la certification vous avez mis en oeuvre un système de management de la sécurité (SMSI pour les intimes). Un système de management comporte à la fois les politiques, les processus, les technologies, les ressources humaines qui oeuvrent au service de la sécurité de l'information.
Et cela sera l'un des enjeux de l'audit - Démontrer la maitrise dans la gestion de ce système de management. Autrement dit, il n'est pas uniquement question d'aligner les mesures de sécurité et les preuves mais bien de démontrer que vous avez compris où vous allez. Les mesures de sécurité ne sont qu'une conséquence d'une réflexion globale et pas un but en soi.
Le plan d'audit
Lors des phases préparatoires à l'audit, l'organisme de certification vous transmettra un plan d'audit qui vous présentera en détail les différentes interviews qui auront lieu. Charge à vous d'inviter les bons interlocuteurs pour les différentes réunions afin d'apporter toutes les explications et preuves nécessaires sur chaque thème. Afin de préparer au mieux l'étape 1 de l'audit, l'auditeur vous demandera un certains nombres de documents en vue de procéder à une revue documentaire :
La déclaration d'applicabilité - Présentant les mesures de sécurité applicables à votre organisation, les justifications et leur statut d'implémentation ;
La politique générale de sécurité qui présente la synthèse des mesures en vigueur dans l'organisation
La politique du système de management - qui présente votre SMSI et le périmètre de certification (le terme n’est pas normatif, donc cela peut avoir plusieurs noms)
D- La réponse D
Contrairement à l'idée reçue, l'auditeur ne choisit pas les interlocuteurs (ou alors je n'ai eu que des auditeurs très sympa ces 10 dernières années). De même, je n'ai jamais vu d'auditeurs se balader dans les locaux et piocher au hasard une victime expiatoire pour l'assaillir de questions sur la sécurité de l'entreprise. Alors oui, il peut se laisser aller à poser une question random pendant la pause café mais cela va rarement plus loin.
Toutefois, essayez de gagner des points facilement. Par exemple le jour de l'arrivée de l'auditeur dans vos locaux, veillez à ce que le processus de gestion des visiteurs soit bien appliqué, faites lui signer le registre des visites, mettez lui un joli badge. et Go to la boulangerie pour un croissant.
L'étape 1
L'étape 1 a lieu environ 30 jours avant l'audit de certification. Elle consiste a évaluer "l'auditabilité" de votre système de management. En somme cela permet à l'auditeur de valider certains points en amont. La durée peut aller d'une demi-journée à plusieurs jour pendant lesquels vous devrez présenter certains éléments de votre SMSI (sans présenter les preuves). Cette étape peut permettre :
d'identifier les points à couvrir avant l'échéance d'audit sous peine de non-conformité majeure
De comprendre le mode d'organisation de votre entreprise (les activités, le périmètre de certification)
De vérifier certains points d'antériorité de votre système de management
Si malheureusement votre système de management n'est pas suffisamment robuste l'auditeur peut annuler sa venue prévue dans les 30 jours et repositionner une date. Cela ne doit pas être perçu comme un échec, mais plutôt comme la volonté pour l'auditeur de vous donner toutes les chances de succès (et accessoirement d'éviter de faire perdre du temps à tout le monde).
C’est aussi la première rencontre avec l’auditeur qui va vous suivre pendant tout le cycle de 3 ans.
L'étape 2
Le premier jour d'audit commence par la réunion d'ouverture permettant à chacun de se présenter et de présenter les parties prenantes de cet audit. L'auditeur vous présentera le déroulement de l'auditeur ainsi que les autres auditeurs (si cela est le cas) qui interviendront dans les prochains jours.
Il est conseillé (très conseillé) que des membres de la direction soient présents à cette réunion qui permettra de démontrer que le sujet est pris au sérieux au plus haut de l'organigramme. Et c'est ensuite parti pour l'audit en tant que tel, qui va durer entre 3 et 10 jours (pour les périmètres les plus conséquents). Autant vous prévenir, les journées seront longues et harassantes. L'auditeur passera sur chaque point de la norme et vous demandera de présenter à la fois la philosophie sur tel ou tel point ainsi que les éléments de preuve. Mieux vaut pour les parties prenantes d'être assez à l'aise avec les documentations en vigueur et éviter de chercher l'information pendant plusieurs longues minutes... C'est typiquement le genre de comportement qui démontrera que vous ne maitrisez pas votre système de management.
Petite astuce, il est assez fréquent que certains écarts puissent être traités directement pendant l'audit - sur ce point les auditeurs sont assez bienveillants et cela peut permettre de gagner des points assez facilement (ou éviter d'en perdre), donc n'hésitez pas !
Petits conseils d'attitude
L'audit est à la fois un exercice fatiguant mais également très formateur. Toutefois il y a certaines petites règles non officielles - je nierai donc avoir eu cette conversation avec vous. La première règle est qu'il ne sert à rien d'en dire plus que nécessaire. Souvent lors d'un audit, on peut être tenté de noyer l'auditeur derrière tout un tas d'informations, or cela peut se révéler contre productif, ou pire : aiguiser l'intérêt ou la surprise d'un auditeur. Donc on répond à la question qui est posée, et pas plus. Cela sera déjà un bon point de départ.
Voici également un petit florilège des phrases à éviter - elles sont toutes authentiques :
On en a déjà parlé tout à l'heure.
Là dessus on est mauvais.
Ha bon ? y'a ça dans la norme ?
Pfff...
Ca je sais que c'est une non conformité mais...
Je pense que cette exigence est inutile pour notre environnement .
L'analyse de risques ? Mouais...
On verra ça l'année prochaine.
Je sais, ça serait bien mais on a pas le temps
On ne vérifie jamais, c’est Google/Microsoft/Aws (rayer la mention inutile), donc ça marche
Ha non on contrôle pas, mon équipe est autonome.
Dernier point, sachez que si vous avez été accompagné par une société pour la phase d'implémentation, leur présence à l'audit de certification est à la discrétion de l'auditeur. Certains acceptent, d'autres non (la plupart du temps ils acceptent). Toutefois, le rôle du consultant sera d'être uniquement observateur et n'interviendra que si l'auditeur l'y autorise.
A l'issue de l'audit
A l'issue de l'audit, la dernière réunion (réunion de clôture) consiste à présenter une synthèse globale de l'audit et de présenter les principaux constats; Si malheureusement vous avez une non conformité majeure - vous devrez retenter votre chance au tirage (si t'as pas la ref c'est que tu as moins de 35 ans). Pour les non conformités mineures ou points sensibles, il n'y a en théorie pas de limite, c'est d'abord la sensation de maitrise globale qui sera évaluée et les efforts pour bien faire les choses. Sachez que ce n'est pas l'auditeur qui délivre le certificat, il émet un avis favorable ou défavorable à l'organisme de certification. Votre dossier sera ensuite évalué par une autre équipe d'audit (AKA le bureau conformité) sur la base du rapport de l'auditeur (sans vous donc) et votre certificat vous sera ensuite remis (dans un délai de 30 jours environ). Dans les faits, si l'auditeur émet un avis favorable il y a assez peu de chances pour que votre dossier soit refusé par l'organisme mais cette probabilité existe. Concernant le traitement des non-conformités mineures, vous devrez remplir un plan d’action corrective et d’action de cantonnement, l’objectif ici est de démontrer que vous avez bien compris l’origine des non-conformités et que vous avez défini un plan de traitement. Ce formulaire est à transmettre 15 jours après l’audit environ.
En conclusion
Et voilà, vous en aurez terminé de votre premier audit de certification et la bonne nouvelle c'est qu'on remet ça l'année prochaine (et qu'entre les 2 on aura même fait un audit interne). Ces étapes mobilisent du temps et des ressources, sont souvent fatigantes mais aussi extrêmement formatrices. Si je devais faire une analogie, dans le monde de la musique on dit qu'un concert live vaut 10 répètes. Et bien c'est un peu pareil, à l'issue d'un audit, certaines choses se seront sans doute éclaircies et vous aurez indéniablement progressé, alors n'hésitez plus - lancez vous !
Comentarios