Vous êtes sur la page 1sur 11

Gestion des identités et des accès

En sécurité des systèmes d'information, la Gestion des Identités et des Accès (GIA) (en
anglais Identity and Access Management : IAM) est l’ensemble des processus mis en œuvre par une
entité pour la gestion des habilitations de ses utilisateurs à son système d’information ou à
ses applications. Il s’agit donc de gérer qui a accès à quelle information à travers le temps. Cela
implique ainsi d’administrer la création, la modification, et les droits d’accès de chaque identité
numérique interagissant avec les ressources de l’entité.

La gestion des identités et des accès s'intéresse par exemple au contrôle de la façon dont les
utilisateurs acquièrent une identité, la protection de cette identité et les technologies permettant
cette protection.

Les composantes de la GIA peuvent être divisées en 5 catégories distinctes, qui fonctionnent


conjointement :

 l'identification, initialisant l'identité de l'utilisateur ;

 l’authentification, de l’utilisateur au système ;

 l’autorisation, de l'utilisateur à l'accès de la ressource ;

 la gestion de l’utilisateur ;

 annuaire central d’utilisateurs.

Identification

Certaines applications informatiques ou certains services en ligne n'étant pas publics, mais réservés à
des utilisateurs bien particuliers, il est nécessaire pour eux de passer par une procédure
d'identification, au cours de laquelle ils fourniront un identifiant, représentation de leur identités.

Cette étape initie la relation entre l'utilisateur et les ressources informationnelles du système. Elle
permet d'attribuer à l'utilisateur un ensemble de paramètres qui le caractérisent de façon unique,
rassemblé sur une fiche identité, propre à chaque utilisateur comportant également les droits
d'accès qui sont associés à la fois à l'utilisateur et au contexte de son utilisation des ressources de
l'entité.

Par ailleurs une solution GIA peut permettre la simplification de l'accès à un système d'information
en intégrant un système d'authentification unique, autorisant à l'utilisateur l'accès à un ensemble
d'application avec une seule identification et authentification.

Authentification

Une fois qu’une identité a été associée à l’utilisateur, il est nécessaire de la vérifier afin de confirmer
son individualité. L’authentification prend généralement la forme d’un couple identifiant/mot de
passe et permet de créer une session entre l’utilisateur et le système afin de permettre à celui-ci
d’interagir avec la ressource jusqu’à la fin de la session (déconnexion, expiration, ...).

L'authentification des utilisateurs prend de plus en plus d'importance en Gestion des identités et des
accès afin de limiter les fraudes et s'assurer de l'identité d'une personne tentant d'accéder à un
système. Ceci mène souvent les propriétaires de système ou d'application à requérir à
l'authentification à plusieurs facteurs.
L'identification et l'authentification permettent d'empêcher les intrusions potentiellement source de
corruption des données informatiques de l'entité.

Autorisation

Après l’authentification et avant l’accès de l’utilisateur à la ressource visée, il est nécessaire de


vérifier son droit à y accéder. La requête de l’utilisateur est alors mise en lien avec ses habilitations et
détermine si la ressource lui est accessible ou non. La nature du droit d'accès est alors déterminée et
associée à l'identité de l'utilisateur En général, les types d'accès sont la consultation, la modification,
l'exécution d'un programme, ou son administration.

Gestion de l'utilisateur

Cette fonction rassemble la gestion et la modification des utilisateurs, des groupes et des rôles. Le
cycle de vie entier de l’utilisateur, de la création à la suppression de son identité au sein du système,
est alors contrôlé.

Annuaire central d'utilisateurs

Ce composant de la GIA permet le stockage et la circulation à d’autres services des données de


l’utilisateur. Il s’agit donc d’un annuaire permettant de gérer l’ensemble des utilisateurs, et de mettre
en relation les habilitations de ceux-ci à différents systèmes qui ne sont normalement pas en lien les
uns des autres.

Enjeux

La mise en place dans une entité d’un système GIA demeure un investissement et dont l’utilité peut
paraître financièrement incertaine. Ainsi, les principaux bénéfices d’une GIA performant sont :

 financier : réduire les coûts de gestion ;

 sécuritaire : prévenir les intrusions et sécuriser les informations ;

 souplesse et agilité : Augmente la réactivité du système d’information.

Financier

La multiplication de systèmes au sein de l’entité peut réduire l’efficience des utilisateurs qui doivent
alors gérer de nombreux couples identifiant-mot de passe. De plus, le stockage des différentes bases
de données qui comportent des informations redondantes génère des coûts. Enfin, le centre
d’assistance peut être davantage consulté sans mise en place d'une solution GIA.

En centralisant et homogénéisant les outils de gestions, les coûts du système informatique et du


centre d’appel peuvent être réduits.

Sécurité

La mise en place d’une solution GIA permet d’améliorer la sécurité d’un système informatique à
travers :

 la confidentialité, une information ne peut être lue que par les utilisateurs qui y sont
autorisés ;

 la protection des données : seuls les utilisateurs habilités peuvent les modifier ;


 la traçabilité : « quel utilisateur a eu accès à quelle ressource à quel instant » afin de cibler
les dysfonctionnements.

Souplesse

Les modifications constantes d’accès ou d’identités d’un utilisateur sont plus rapidement effectuées
sur l’ensemble des applications du système grâce à une gestion centralisée. Ceci permet donc une
mise en conformité simplifiée et accélérée des identités et accès des utilisateurs aux besoins de
l’entité.

Perspectives

La GIA permettant une solide gestion des identités, avec des pratiques rigoureuses d'authentification
et d'autorisation, elle garantit ainsi une certaine confiance dans les entreprises et a donc contribué
au développement de l'économie numérique. En effet, si les solutions de gestion d'identités existent
depuis de nombreuses années, les technologies s'y référant ne cesse d'évoluer et de se confronter à
de nouvelles difficultés. Avec l'avènement du cloud, des nouvelles législations et normes
industrielles, la GIA ne cesse de se transformer.

Que ce soit avec le cloud, sur un terminal mobile ou dans un centre de données, tous les utilisateurs
d'une entreprise doivent pouvoir consulter certaines ressources pour travailler. De plus, l'accès des
utilisateurs à cet environnement doit s'effectuer de manière à sécuriser leur vie privée, les données
de l'entreprise mais aussi à se conformer aux obligations réglementaires.

De nouvelles générations de solutions

À l'origine, les GIA ne se basaient que sur de multiples outils et des procédés manuels. Cette
première génération est dépassée, car elle ne permet pas aux entreprises de connaître précisément
la cartographie complète de l'ensemble des accès des utilisateurs dans l'entreprise.

C'est d'autant plus vrai que les modèles d'organisation caractérisés par un contrôle centralisé des
accès par un unique département informatique ne sont plus d'actualité. Les utilisateurs apportent
désormais leur propre terminal mobile dans l'entreprise pour pouvoir accéder à leur environnement
de travail (réseau d'entreprises) et les départements métiers décident généralement d'eux-mêmes
de lancer des applications Cloud sans consultation du département informatique.

La nouvelle génération de GIA a donc l'obligation de faire un lien de façon transparente entre les
utilisateurs et les applications du réseau de l'entreprise ; entre les utilisateurs et les applications
extérieures du réseau afin de fournir une visibilité et un contrôle total.

De nouvelles méthodes d'identification

De nos jours, les GIA cherchent de plus en plus dans les processus d'authentification à faire
converger identité physique avec identité numérique. Une identité numérique étant une
combinaison d'éléments permettant une authentification de l'utilisateur avant une autorisation
d'accès.

En parallèle, les méthodes d'authentification n'ont cessé de s'améliorer en matière de sécurité tout
en garantissant un accès simple pour l'utilisateur. On distingue ainsi trois catégories de méthodes,
basés sur trois facteurs d'authentification :

 facteurs de connaissance (ce que l'utilisateur connaît) : identifiants, mots de passe, questions


de sécurité ;
 facteurs de possession (ce que l'utilisateur possède) : badges, jetons à usage unique (SMS de
validation) ;

 facteurs physiques (ce que l'utilisateur est) : signatures, empreintes digitales, empreintes
rétiniennes, voix…

Afin de maximiser la sécurité, et d'empêcher toutes tentatives d'usurpation d'identité de plus en plus
sophistiquées, les méthodes d'authentifications doivent s'appuyer sur au moins deux de ces trois
facteurs.

Quatre caractéristiques majeures de la nouvelle génération de GIA

Outre ces nouvelles méthodes d’authentification, les nouvelles générations de GIA devront intégrer
quatre caractéristiques majeures :

 la capacité de centraliser l’environnement informatique avec l’environnement Cloud. Les


entreprises devant désormais gérer l’accès à des ressources multi-domaines ;

 la capacité de gérer des solutions de gestion mobiles (MDM : Mobile Device Management).
Les employés utilisant de plus en plus des applications mobiles pour avoir accès au Cloud et
autres applications web. En intégrant le MDM à la GIA, les entreprises pourront assurer un
contrôle total sur les ressources ;

 la capacité à avoir une vision unique et centralisée des données afin d’obtenir un référentiel
unique sur les droits et les accès, en interne et dans le Cloud ;

 la capacité à coordonner le département informatique avec les départements métiers. La GIA


doit effectivement être considéré autant comme une solution métier qu’une solution
technique. L’informatique et les métiers doivent travailler ensemble afin de définir la
politique de sécurité et les contrôles.

Plan de continuité d'activité

Le plan de continuité des affaires ou plan de continuité d’activité (PCA) est à la fois le nom d’un


concept, d’une procédure et du document qui la décrit. C'est l'un des éléments de la gestion de crise.
Il permet à une entreprise de fonctionner a minima même en situation de désastre, en mode
dégradé, ou en situation de crise majeure ou mineure (ex : inondation, tsunami, tremblement de
terre, pandémie, catastrophe technologique, coupure d'électricité, d'eau ou d'internet, etc.).

Ce plan doit permettre à un groupe (gouvernement, collectivité, institution, entreprise, hôpital..) de


fonctionner même en cas de désastre ; quitte à ce que ce soit en mode dégradé, ou en situation de
crise majeure.

C’est un document stratégique, formalisé et régulièrement mis à jour, de planification de la réaction


à une catastrophe ou à un sinistre grave. Son objectif est de minimiser les impacts d’une crise ou
d’une catastrophe naturelle, technologique ou sociale sur l’activité (et donc la pérennité) d’une
entreprise, d’un gouvernement, d’une institution, d’un groupe…

Pour un gouvernement et les citoyens, il est essentiel que les secteurs fournissant des services vitaux
tels que l’alimentation, la défense, la sécurité civile, les soins, la fourniture d’énergies (dont
électricité), le transport en commun, les télécommunications, les banques, etc. soient capables
de résilience face à une crise grave. De nombreuses entreprises sont de plus en plus dépendantes de
leurs fournisseurs ou sous-traitants. Il est de leur intérêt que la planification de la continuité soit faite
et partagée par la chaine des acteurs (du fournisseur au consommateur de biens ou de services).
Il existe en France une norme AFNOR (norme ISO 22301 dite Système de management de la
continuité d’activité, exceptionnellement mis à disposition gratuite de tous le 23 mars 2020 pour
répondre à la pandémie de COVID-19.

Le Disaster Recovery Institute International (DRII) suggère dans ses bonnes pratiques quatre critères
pour un PCA : “resume without notice”, “data stored off-site”, “within recovery time objective”,
“without key personnel”. Créé et maintenu par Disaster Recovery Institute International, Les
Pratiques Professionnelles pour la Gestion de la Continuité d’Activités est un ensemble de
connaissances conçu pour aider à l'élaboration, à la mise en œuvre, et le maintien d’un programme
de gestion de la continuité des activités. Il est également destiné à servir d’outil pour effectuer des
évaluations des programmes existants. Ce qui se résume en :

1. Se projeter dans des événements non planifiés,

2. Présumer que le site de l’exploitant est indisponible,

3. Respecter un délai de reprise imposé par le métier,

4. Appliquer des procédures rodées (testées et à jour).

Il varie selon les plans, mais il intègre généralement :

 les démarches existantes de type « Assurance qualité », dont un état des lieux mis à jour sur
les thèmes vitaux incluant la sécurisation des locaux, des ressources vitales (dont
informatiques et télécommunication) ;

 les plans de protection du personnel (y compris concernant le transport, l’hébergement, les


soins qui sont le cas échéant étendu aux familles) ;

 les plans d’alerte et de secours, les plans de crise et de reprise d’activité (Cf. résilience) en
vigueur ;

 ainsi que la gestion du risque juridique et assuranciel.

Cela se fait :

 en identifiant les forces et faiblesses, les points critiques, par le biais d'une Analyse de
Vulnérabilité.

 en les coordonnant et dans la mesure du possible en les testant régulièrement par des
exercices appuyés sur des scénarios de crise,

 en communiquant et en associant le personnel aux organigrammes fonctionnels (fonctions et


moyens prioritaires, remplaçants possibles, solutions alternatives..), aux calendriers
d'exercices et bilans, à l’évaluation de la gestion des risques, au choix et au renseignement
des indicateurs (reporting). Les plans de formation, plan de communication (interne, externe)
peuvent être précédés et accompagnés d’enquête de perception et/ou compréhension des
acteurs, de groupe de travail, en s’appuyant sur la formation continue des personnels et
parfois des sous-traitants et fournisseurs, voire de la population périphérique à un site
sensible (sensibilisation, information, formation, exercices, etc).

 en s’appuyant sur une liste de ce qui est fait et reste à faire (check-list), sur des audits,
études de risque, études d'impact,
Dans certaines entreprises, pour des raisons stratégiques, le Plan peut être pour tout ou partie
confidentiel, ce qui peut nuire à son appropriation par une partie du personnel :

 en tenant compte du contexte. Les plans de continuité doivent être assez souples pour
s’adapter à différents types de risques et dangers, en tenant compte du contexte local et
global (ex ; le risque de tremblement de terre grave est a priori plus élevé
en Indonésie qu’en Belgique, mais une entreprise belge ayant une agence importante
à Java ou Bornéo doit s’y préparer).

Dans le secteur des services publics, il est supposé servir l’intérêt général (la question des coûts ne
devrait pas être le 1er déterminant). Dans certaines entreprises privées, il peut être plus directement
orienté sur le seul maintien de la pérennité de l’entreprise, mais dans un monde réputé globalisé et
de plus en plus interdépendant les aspects éthiques semblent pouvoir ou devoir être re-questionnés.

Le cas du risque sanitaire est particulier

Les plans de continuité (quand ils existent) doivent généralement être adaptés car ils ont été
préparés pour des situations de catastrophe naturelle, de guerre, ou d'attentat. Ces risques sont liés
à une brusque, mais locale pénurie d’infrastructure et de ressources. (Il suffit alors de déplacer le
personnel dans une zone sûre ou sécurisée).

Au contraire, une pandémie pourrait ne faire aucun dégât matériel (sauf accident induit) mais
décimer le personnel d’entreprises vitales, avec des effets-domino pour d’autres entreprises et
services vitaux, et ceci sur toute la planète, sans qu’on puisse savoir où le virus pandémique surgira
ni combien de vagues suivront, ni à quelle intensité.. 30 à 60 % du personnel pourrait localement
manquer, ou devrait rester à la maison. Une partie de ce personnel pourrait mourir. Les
infrastructures de transport et de communication ne devraient pas être touchées, mais les
déplacements devront être réduits pour limiter la contagion, et les agents qui font fonctionner les
infrastructures pourraient localement et durant un certain temps faire défaut.

La solution la plus souvent évoquée est le télétravail via l'Internet, mais certains experts pensent que
le réseau Internet, tel qu'il est conçu, ne supporterait pas les flux qu'on lui imposerait, et ce réseau
dépend totalement de la fourniture en électricité et du maintien du fonctionnement des
télécommunications. Enfin le télétravail demande une infrastructure informatique adaptée, et
souvent plusieurs mois de préparation pour être opérationnel.

En France

Une norme AFNOR (norme ISO 22301 dite Système de management de la continuité d’activité traite
de ce sujet. Elle a été « exceptionnellement » mis à disposition gratuite de tous le 23 mars 2020 pour
répondre à la pandémie de COVID-19.

Les 4 premiers thèmes traités en 2006 par le MEDEF étaient :

1. Points d’organisation à prendre en compte de façon préventive par les entreprises

2. Les masques de protection

3. Les mesures de protection

4. Les mesures concernant les entreprises situées sur une zone proche d’un foyer viral
Cycle d'amélioration du PCA (Business continuity lifecyle)

Par définition, un plan de continuité ne peut être définitif. Il doit être mis à jour en fonction du
contexte et/ou des retours d'expériences et d'exercices (quand les exercices existent, ce qui est
recommandé par les gestionnaires de crise). Une certaine standardisation des protocoles de secours
se met en place qui semble utile, mais ne doit pas freiner l’innovation et une certaine souplesse
nécessaire face à l’imprévu.

L’outil informatique prend une importance croissante. Les consultants lui associent souvent un
SIMCA (système d’information du management de la continuité), visant à mettre à jour en temps réel
toutes les informations vitales de l’entreprise et éventuellement de son réseau de partenaires
proches. L’ordinateur a également contribué à des modélisations et planifications plus complexes, au
travail sur la complexité elle-même, ou encore à l’évaluation des dégâts et à la gestion et répartition
des responsabilités et taches en situation de crise.

Plan de secours informatique

Introduction Une attaque informatique peut mettre en péril une entreprise. Mais un grave sinistre peut
avoir des impacts tout aussi négatifs. Dans les deux cas, il convient d’établir en place un PSI. Plus qu’un
« Plan B », il s’agit d’instaurer de nouvelles méthodes de travail.

Un Plan de Secours Informatique «Un Plan de secours informatique est l’ensemble des procédures et
dispositions pour garantir à l’entreprise la reprise de son système informatique en cas de sinistre. Sous
ensemble du Plan de continuité informatique qui couvre les moyens informatiques et télécoms. »
 Maintenance du PSI
• Réunion du comité du PSI plusieurs fois par an
• Évaluer les nouveaux risques
• Proposer le plan d’action correspondant
• La maintenance est facilitée par l’utilisation d’un outil spécialisé
• Gestion complete de la documentation
• Gestion des ressources
• Production du planning des operations de reprise.

L'ISO/IEC 27001, la norme internationale pour la


sécurité de l'information
Le succès d'une organisation peut être mesuré aujourd'hui en fonction de la façon dont cette
organisation traite l'information. A la fois la confidentialité des données personnelles, la
disponibilité des systèmes informatiques et l'exactitude des informations financières sont
cruciales pour tout type d'organisation: grande ou petite, entreprise ou gouvernement. Des
exemples récents ont montré qu'aucune entreprise ou organisation n'est protégée contre
d’éventuelles cyberattaques ou violations de données. Outre le fait qu'en tant qu'organisation
vous risquez de perdre la confiance du client, cela peut également entraîner de graves
préjudices financiers.
Un système de management de la sécurité de l'information (SMSI) basé sur l’ISO/IEC
27001 apporte une solution afin de maîtriser au mieux les risques ci-dessus.

1. Que prévoit la norme ISO/IEC 27001 ?


2. Pourquoi appliquer la norme ISO/IEC 27001 ?
3. À qui s'adresse la norme ISO/IEC 27001 ?
4. Certificat ISO/IEC 27001
5. Audit externe ISO/IEC 27001
6. Formations ISO/IEC 27001
7. Norme de la famille ISO/IEC 27000

1. Que prévoit la norme ISO/IEC 27001 ?


Appelée «ISO/IEC 27001 : Technologies de l'information - Techniques de sécurité - Systèmes
de management de la sécurité de l'information – Exigences », cette norme montre, à l'aide
d'un ensemble d'exigences, comment établir, mettre en œuvre, évaluer et améliorer en
permanence un SMSI efficace.

L'objectif : protéger la confidentialité, la disponibilité et l'intégrité de toutes les données au


sein de votre organisation.

LES ASPECTS ESSENTIELS D'UN ISMS :

 Confidentialité – Seules les personnes autorisées ont accès aux informations


 Intégrité – Les informations sont exactes, complètes et correctes.
 Disponibilité – L'information est accessible aux utilisateurs au bon moment et en temps utile.

ISO/IEC 27001: des mots de passe à la protection incendie

Les chapitres de la norme ISO/IEC 27001 traitent notamment des thèmes suivants :


 Règlementation (protection des données à caractère personnel)
 Organisation (rôles et responsabilités des collaborateurs)
 Ressources (infrastructures, réseaux et systèmes informatiques)
 Personnel (politique, erreurs humaines, vols, fraudes et autres abus)
 Sécurité physique (accès aux bâtiments ou à l'infrastructure informatique)
 Communication (gestion des systèmes, des processus et des procédures)
 Développement et maintenance de systèmes et de logiciels (documentation et
processus)
 Continuité des affaires (politiques et procedures)
2. Pourquoi appliquer la norme ISO/IEC 27001 ?
Les principaux avantages de la norme ISO/IEC 27001 :

 Protection des données cruciales : avec un SMSI, vous réduisez le risque que vos
informations soient utilisées à mauvais escient, qu'elles soient incorrectes ou qu'elles ne
soient plus disponibles à temps.
 Clarté : des procédures opérationnelles écrites et une répartition claire des rôles vous
permettent d'identifier systématiquement les vulnérabilités et de prendre en main de
manière ciblée.
 Confiance accrue des clients : les clients manifestent un intérêt croissant pour la manière
dont leurs données sont gérées. Avec un SMSI, vous pouvez les rassurer et avoir la certitude
qu'ils continueront à choisir votre organisation à l'avenir.
 Risque financier réduit : le non-respect des lois pertinentes peut entraîner des amendes
élevées. De plus une perte de réputation et une perte de clients peuvent entraîner de graves
préjudices financiers.
 Du sur mesure pour chaque organisation : la norme ISO/IEC 27001 est applicable à toute
organisation, quels que soient son secteur, sa taille ou son type.
 Renommée internationale : la norme de management ISO est connue dans le monde entier
et renforce sensiblement votre crédibilité au-delà des frontières nationales.

3. À qui s'adresse la norme ISO/IEC 27001 ?


La sécurité de l'information et un SMSI efficace sont importants pour toutes les organisations.
Chaque organisation ou entreprise garde une trace des flux d'informations physiques et/ou
numériques.
 
Qu'est-ce qu'un certificat ISO/IEC 27001 ?

La mise en œuvre correcte et complète d'une norme de management ISO n'est pas une
obligation pour les organisations. Vous pouvez, par exemple, appliquer une partie de la
norme. Mais si vous visez la certification, vous devez remplir toutes les exigences que
contient la norme. Dans ce cas, une institution indépendante évaluera votre SMSI à votre
demande. Si l’évaluation est positive, vous recevrez une preuve écrite attestant que vous
répondez à toutes les exigences de la norme. Ce certificat est valable 3 ans. Vous passez
ensuite par un nouveau processus de certification (si vous le souhaitez) pour en renouveler la
validité.
Pourquoi tenter d’obtenir un certificat ISO/IEC 27001 ?

Les 3 principaux avantages d'un certificat ISO/IEC 27001 :


1. De nouvelles opportunités commerciales : tout le monde veut avoir la certitude à l’heure
actuelle que ses données seront conservées en toute sécurité au sein de votre organisation.
Un certificat inspire confiance aux clients.
2. Un atout dans les appels d'offres : les pouvoirs publics et les grandes entreprises qui lancent
des appels d'offres recherchent de plus en plus des organisations qui offrent des garanties
optimales en matière de sécurité de l’information.
3. Une amélioration continue de votre sécurité de l’information: obtenir et conserver un
certificat impliquent que vous devez effectuer (ou faire effectuer) des audits périodiques.
Cela signifie que vos objectifs et vos procédures sont toujours à jour.

Comment obtenir un certificat ISO/IEC 27001 ?

Bien que l'ISO, la CEI et le NBN facilitent l'élaboration de normes de management, ces
organisations ne participent pas à leur certification. En d'autres termes, vous ne pouvez jamais
faire certifier votre organisation par l'ISO, la CEI ou le NBN. Ce sont des organismes de
certification indépendants qui délivrent les certificats à l’issue d’une évaluation positive.
 
5. Audit externe ISO/IEC 27001
Il est important de savoir que vous déterminez vous-même le champ d’application de la
certification – et donc des audits. Cela vous permet de choisir d'inclure certains services et pas
d'autres dans le champ d'application. Le SMSI du ou des services pour lesquels vous
souhaitez être certifié est ensuite évalué dans le cadre d'un audit par un organisme de
certification indépendant. Avant ces audits officiels, vous pouvez également organiser des
audits internes pour vous y préparer.
 
Comment se déroule un audit externe ?

À partir de 3 mois après la mise en œuvre complète de la norme de management, vous pouvez
entamer le processus de certification et programmer un audit externe. Selon la taille de votre
organisation, cet audit prendra un ou plusieurs jours. Si vos services sont répartis sur plusieurs
sites, l'auditeur visitera toutes les installations.
L'audit comporte deux phases :
 phase 1 : un contrôle approfondi de tous les documents nécessaires
 phase 2 : une analyse (sur place) du fonctionnement du SMSI

 
Que se passe-t-il après l'audit ?

Après l'audit, l'organisme de certification décide si vous avez correctement mis en œuvre
votre système de gestion. En cas d'avis négatif, vous recevrez un rapport avec les non-
conformités et les points sur lesquels vous devez travailler. Dans ce cas, un audit
supplémentaire apportera une réponse définitive. En cas d'avis positif, vous obtiendrez un
certificat. L'auditeur vous rendra ensuite visite chaque année pour évaluer votre SMSI. Vous
pouvez demander le renouvellement de votre certificat tous les 3 ans – le délai de validité d'un
certificat. 
Comment se préparer à un audit ?

Ces 4 conseils augmentent vos chances de réussite :

1. effectuer un audit interne – avec ou sans aide extérieure – pour identifier les éventuelles
lacunes ;
2. veiller à ce que la direction soit présente lors de l'audit et que tous les collaborateurs soient
informés ;
3. conserver tous les documents nécessaires dans un endroit central et vérifier qu'ils sont
rédigés dans la langue de la norme de management ;
4. établir une liste d'actions et de projets réussis et mesurables, qui garantissent une
amélioration continue.

Vous aimerez peut-être aussi