ISO 27001 Lead Auditor FR v.12.0 - Day 2 (2) - 1

© Professional Evaluation and Certification Board, 2022. Tous droits réservés.
Version 12.0
Numéro de document : ISMSLAD2V12.0
Les documents fournis aux participants sont strictement réservés à des fins de formation. Aucune partie de ces
documents ne peut être publiée, distribuée, affichée sur Internet ou sur un intranet, extraite ou reproduite sous
quelque forme ou par quelque moyen que ce soit, électronique ou mécanique, y compris par photocopie, sans
l'autorisation écrite préalable de PECB.
Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2022-10-14
1/164
2/164
3/164
Cette section vise à faciliter la compréhension des principaux types d’audit et des principes d'audit. En outre, la
section donnera des précisions sur la compétence que les auditeurs de systèmes de management devraient
avoir pour mener à bien les audits.

4/164
Contenu d'ISO 19011:2018
1. Domaine d’application
2. Références normatives
3. Termes et définitions
4. Principes d’audit
5. Management d’un programme d’audit
6. Réalisation d’un audit
7. Compétence et évaluation des auditeurs
Annexe A (informative) Lignes directrices supplémentaires destinées aux auditeurs pour la planification et
la réalisation des audits
Contenu d’ISO/IEC 17021-1:2015
4. Principes
5. Exigences générales
6. Exigences structurelles
7. Exigences relatives aux ressources
8. Exigences relatives aux informations
9. Exigences relatives aux processus
10. Exigences relatives au système de management des organismes de certification
Annexe A (normative) Connaissances et savoir-faire exigés
Annexe B (informative) Méthodes possibles d’évaluation
Annexe C (informative) Exemple d’un logigramme de détermination et de maintien des compétences
Annexe D (informative) Comportement personnel souhaité
Annexe E (informative) Audit et processus de certification

5/164
ISO/IEC 27007, Introduction
Le présent document fournit aux organismes de toutes tailles et de tous types des lignes directrices pour les
audits du SMSI de périmètres et d’échelles variables, y compris ceux réalisés par de grandes équipes d’audit,
généralement dans de grands organismes, et ceux réalisés par des auditeurs uniques, dans de grands ou petits
organismes.
Note: ISO/IEC 27007 se concentre sur les activités d'audit des SMSI et leurs étapes.
Contenu d'ISO/IEC 27007:2020
4. Principes d’audit
5. Management d’un programme d’audit
6. Réalisation d’un audit
7. Compétence et évaluation des auditeurs
Annexe A (informative): Lignes directrices pour les pratiques d'audit du SMSI

6/164
ISO/IEC 27006 est la base sur laquelle un organisme de certification est accrédité pour l'audit et la
certification des systèmes de management de la sécurité de l'information selon les exigences d'ISO/IEC
27001.
Contenu d'ISO/IEC 27006:2015
4. Principes
5. Exigences générales
6. Exigences structurelles
7. Exigences relatives aux ressources
8. Exigences relatives aux informations
9. Exigences relatives aux processus
10. Exigences relatives au système de management des organismes de certification
Annexe A (informative): Connaissances et aptitudes pour l'audit et la certification du SMSI
Annexe B (normative) : Temps d’audit
Annexe C (informative): Méthodes de calcul du temps d'audit
Annexe D (informative): Lignes directrices pour la revue des mesures de sécurité mises en œuvre selon l'Annexe
A de la norme ISO/IEC 27001:2013

7/164
Il est important pour les auditeurs de comprendre le vocabulaire et les exigences de la norme (selon laquelle un
organisme est audité) afin de mener à bien un audit. Les auditeurs doivent d'abord maîtriser le vocabulaire et la
terminologie des audits de systèmes de management (dans ce cas, ISO 9000 peut être utilisée comme
référence). Les auditeurs doivent ensuite se familiariser avec le vocabulaire de base du système de
management qu'ils vont auditer (dans la plupart des normes ISO, le troisième article présente les définitions des
termes utilisés).

8/164
Un audit est une évaluation basée sur des preuves et des faits. Cette évaluation met en évidence les forces et les
faiblesses de l’organisme ou du système audité. Les résultats de l’audit sont communiqués à la direction qui
prendra alors les mesures nécessaires et appropriées. Les mêmes principes et techniques de base s’appliquent
aux audits de système de management.
Un audit financier détermine si les pratiques comptables d'un organisme sont conformes aux exigences
légales et aux principes reconnus.
Un audit administratif détermine l’efficacité des pratiques administratives globales d’un organisme.
Un audit de sécurité des systèmes d'information détermine si les actifs d'information sont protégés de
manière appropriée.

9/164
Les audits de première partie sont mieux connus sous le nom d'audits internes. L’audit interne est une
activité indépendante et objective qui donne à un organisme une assurance du degré de maîtrise de ses
opérations, donne des recommandations pour les améliorer et contribue à créer une valeur ajoutée. Les audits
internes sont réalisés par, ou pour le compte de, l’organisme lui-même, pour les revues de direction et les autres
besoins internes.
Les audits de seconde et tierce parties sont tous deux connus sous le nom d'audits externes. La
principale différence entre les deux réside dans la certification. D'une part, les audits de seconde partie sont
menés par des parties qui ont un intérêt dans l'entité auditée (par exemple, les clients) et ne sont pas destinés à
des fins de certification. D'autre part, les audits de tierce partie sont menés par des organismes d'audit externes
et indépendants (p. ex. des organismes de certification, des agences gouvernementales) et l'objectif est d'obtenir
une certification.
Note importante : L’audit de tierce partie est réalisé par des auditeurs externes indépendants de l’audité.

10/164
Audit d'opinion : Ce type d'audit évalue l'état ou la conformité du système de management aux exigences de la
norme et donne des recommandations pour améliorer le système ou la conformité aux exigences de la norme.
Ce type d'audit est généralement réalisé par des groupes de consultants. Un organisme de certification qui
effectue des audits de certification ne peut pas fournir ce type de service.
Audit de pré-évaluation (ou pré-audit) : Ce type d'audit évalue l'état et la conformité d'un système de
management aux exigences de la norme, mais ne conduit pas à la certification. Les organismes utilisent
généralement ce type de service pour déterminer s'ils sont prêts à être certifiés ou non. Ce type d'audit prend
généralement un jour ou deux et est mené par l'équipe qui effectue l'audit de certification.
Audit de certification : Ce type d'audit évalue la conformité d'un système de management à un critère d'audit et
mène à la certification si le système de management répond aux critères d'audit. Ce type de service est fourni
par un organisme de certification accrédité. Vous pouvez valider l'accréditation de l'organisme de certification
auprès de l'organisme d'accréditation du pays auquel l'organisme de certification est affilié.

11/164
ISO19011, article3.12 Client de l’audit (suite)
Note1 à l’article: Dans le cas d’un audit interne, le client de l’audit peut également être l’audité ou la (les)
personne(s) qui gère(nt) le programme d’audit. Les demandes d’audit externe peuvent provenir de sources telles
que des autorités de réglementation, des parties contractantes ou des clients potentiels ou existants.
ISO19011, article3.14 Équipe d’audit (suite)
Note1 à l’article: Un auditeur de l’équipe d’audit est nommé responsable de l’équipe d’audit.
Note2 à l’article: L’équipe d’audit peut comprendre des auditeurs en formation.
ISO19011, article3.16 Expert technique (suite)
Note1 à l’article: Ces connaissances ou cette expertise spécifiques se rapportent à l’organisme, à l’activité, au
processus, au produit, au service ou au domaine à auditer, ou elles consistent en une assistance linguistique ou
culturelle.
Note2 à l’article: Au sein de l’équipe d’audit, un expert technique n’agit pas en tant qu’auditeur.

12/164
ISO/IEC 17021-1, article 9.2.1.1
Les objectifs de l’audit doivent être déterminés par l’organisme de certification.

13/164
Les critères d'audit sont utilisés comme référence pour déterminer la conformité et peuvent inclure les politiques,
procédures, normes, exigences légales, exigences du système de management, exigences contractuelles, codes
de conduite sectoriels ou autres dispositions prévues qui s’appliquent. Sans une définition claire des critères
d'audit, l'audit ne peut être réalisé Les sources des critères d'audit peuvent être des ensembles de critères
prédéterminés ou des listes de critères déclarées par l'organisme audité.
Les critères d'audit peuvent provenir de différentes sources :
Loi, réglementations gouvernementales et règlements (jaune) : Dans chaque pays, il existe des lois
qui couvrent les aspects de la sécurité de l'information. Par exemple, SOX (Sarbanes-Oxley, 2002) sur la
gouvernance et l'administration financière des entreprises et HIPAA (Health Insurance Portability and
Accountability Act, 1996) sur la protection des informations personnelles à usage médical.
Normes nationales (gris) : La plupart des pays disposent d'un organisme chargé de l'élaboration et de la
diffusion des normes nationales. Ces normes nationales peuvent être obligatoires ou volontaires. Dans
certains cas, les normes obligatoires ont force de loi, tout comme d'autres règlements techniques. Par
exemple, NIST 800-53 (États-Unis) fournit des lignes directrices pour la sécurité des systèmes
d'information dans le secteur public, le IT Baseline (Allemagne) fixe des pratiques de sécurité détaillées,
etc.
Normes internationales (vert) : La plupart des normes internationales, telles qu’ISO 9001, ISO 14001,
ISO/IEC 20000-1, ISO 22301, etc. proviennent de l'ISO. Néanmoins, il existe quelques normes qui
proviennent d'autres organisations internationales telles que l'Organisation de coopération et de
développement économiques (OCDE).

14/164
Pratiques de l'industrie (bleu) : Quelques normes, publiées par des associations d'entreprises, définissent un
ensemble de meilleures pratiques. L'une des plus courantes est la norme PCI DSS (Payment Card Industry). Le
Conseil des normes de sécurité PCI est un forum international ouvert pour le développement, la mise à jour, le
stockage, la diffusion et la mise en œuvre continue des normes de sécurité des données comptables. Un autre
exemple est la norme WLA-SCS (World Lottery Association Security Control Standards) qui a été développée
par la WLA pour les sociétés de loterie.
Politiques organisationnelles (rouge) : Chaque organisme dispose de ses propres politiques, procédures ou
exigences en matière de sécurité de l'information. Lors d'un audit de système effectué par une tierce partie,
l'audité doit indiquer les critères d'audit par rapport auxquels il souhaite être audité (généralement un audit de
type SSAE-16).
Le «Statement on Standards for Attestation Engagement no 16» est une norme de certification émise par
l'American Institute of Certified Public Accountants (AICPA). Plus précisément, SSAE-16 est une norme de
certification orientée vers la vérification de la conception des mesures et de leur efficacité opérationnelle. Cette
norme a remplacé l'ancienne «Déclaration sur les normes d'audit n° 70 (SAS 70)» ou l'équivalent canadien
(5970).
Un rapport formel comprenant l'avis de l'auditeur est publié par l'organisme de service sur la base des
conclusions d'un examen basé sur SSAE-16.
Il existe deux types de rapports d'audit de service :
Un rapport de type 1 est techniquement connu sous le nom de «Rapport sur la description d'un organisme
de management de services et la pertinence de la conception des mesures», ou simplement comme un
rapport SSAE de type 1.
Un rapport de type 2 est techniquement connu sous le nom de «Rapport sur la description d'un organisme
de management de services et la pertinence de la conception et du fonctionnement efficace des
mesures».

15/164
Lorsqu'un audit combiné est effectué, l'auditeur doit s'assurer que les systèmes de management sont conformes
aux exigences des normes respectives.
Lors de la réalisation d'un audit combiné, une attention particulière doit être accordée à la compétence de
l'équipe d'audit. Les membres de l'équipe d'audit devraient, collectivement, avoir les compétences nécessaires
pour évaluer la conformité aux différents systèmes de management. Dans ce cas, un des membres de l'équipe
se voit confier la responsabilité de gérer et de diriger l'équipe d'audit.
Note de terminologie: Lorsque deux ou plusieurs organismes d'audit coopèrent pour auditer une seule entité,
on parle d'audit conjoint. Le terme «audit combiné» n'est utilisé que lorsque deux ou plusieurs systèmes de
management (p. ex. la qualité et la sécurité de l'information) sont audités ensemble au sein d'un même
organisme.

16/164
ISO/IEC 17021-1, article4.1. 2
La certification a pour objectif général de donner confiance à toutes les parties qu’un système de management
satisfait aux exigences spécifiées. La valeur de la certification est le degré de confiance du public après qu’un
système de management a été évalué de manière impartiale et compétente par une tierce partie. Les parties qui
trouvent un intérêt à la certification sont les suivantes (liste non exhaustive):
a. les clients des organismes de certification;
b. les clients des organismes dont les systèmes de management sont certifiés;
c. les pouvoirs publics;
d. les organismes non gouvernementaux;
e. les consommateurs et le grand public.

17/164
Code de déontologie de PECB
Les professionnels de PECB doivent :
1. Se comporter de manière professionnelle, avec honnêteté, exactitude, équité, responsabilité et
indépendance
2. Agir en tout temps uniquement dans le meilleur intérêt de leur employeur, de leurs clients, du public et de
la profession, en respectant les normes professionnelles et les techniques applicables tout en offrant des
services professionnels
3. Maintenir leurs compétences dans leurs domaines respectifs et s'efforcer d'améliorer constamment leurs
capacités professionnelles
4. Offrir uniquement des services professionnels pour lesquels ils sont qualifiés et informer de manière
adéquate les clients sur la nature des services proposés, y compris les préoccupations ou les risques
pertinents
5. Informer chaque employeur ou client de tout intérêt commercial ou affiliation qui pourrait influencer leur
jugement ou nuire à leur équité
6. Traiter de manière confidentielle les informations acquises dans le cadre des relations professionnelles et
commerciales de tout employeur ou client, actuel ou ancien
7. Se conformer à toutes les lois et réglementations des juridictions dans lesquelles les activités
professionnelles sont exercées
8. Respecter la propriété intellectuelle et la contribution d'autrui
9. Ne pas communiquer, intentionnellement ou non, des informations fausses ou falsifiées qui pourraient
compromettre l'intégrité du processus d'évaluation d'un candidat à un titre professionnel
10. Ne pas agir d'une manière qui pourrait compromettre la réputation de PECB ou de ses programmes de
certification
11. Coopérer pleinement à l'enquête menée à la suite d'une prétendue violation du présent Code de
déontologie

18/164
Un code de conduite est un ensemble de règles et d'obligations qui décrivent la manière dont les employés d'un
organisme particulier doivent agir par rapport aux autres employés, aux clients et au public. Un moyen efficace
de garantir le respect d'un code de conduite consiste à évaluer correctement les qualifications et les
performances de chaque auditeur. Cela peut se faire en envoyant un questionnaire de satisfaction au client à la
fin de l'audit.
L'intégrité est le principe le plus fondamental du comportement professionnel. Elle implique d'être honnête,
sincère, non corrompu et impartial. Le manque d'intégrité entraîne souvent une perte de confiance des clients.
Par exemple, la valeur d'un certificat peut diminuer si les clients et le grand public pensent qu'un organisme a
obtenu des certificats de conformité aux normes en versant des pots-de-vin ou en étant impliqué dans des actes
contraires à l'éthique.

19/164
Les auditeurs sont tenus de rester objectifs pendant l'audit et ne doivent pas compromettre leur jugement
professionnel en raison de préjugés, de conflits d'intérêts ou d'autres influences déloyales.
Les situations qui peuvent conduire à des jugements, des préjugés ou des influences injustes doivent être
évitées afin que l'objectivité d'un auditeur ne soit pas compromise.

20/164
Les auditeurs doivent faire preuve de conscience professionnelle lors de la réalisation de l'audit et de la
préparation du rapport d'audit. Cela implique d'être diligent et de porter des jugements éclairés dans tous les cas
au cours de l'audit.
Pour réaliser un audit, les auditeurs devront au préalable considérer les éléments suivants :
Contexte de l'organisme
Processus critiques de l'organisme
Attentes des clients
Complexité des activités d'audit à mener
Ressources nécessaires aux activités d'audit

21/164
Lorsqu'ils exercent leur jugement professionnel, les auditeurs doivent tenir compte de certains facteurs qui
peuvent influencer leurs décisions concernant l'audit. Ces facteurs comprennent les objectifs de l'audit, les
attentes, les aspects pratiques, la suffisance et la pertinence des preuves d'audit, la fiabilité des informations et
des outils, et les techniques d'audit alternatives.
ISO 19011, Annexe A.3 Jugement professionnel
Il convient que les auditeurs appliquent un jugement professionnel durant le processus d’audit et évitent de se
concentrer sur les exigences spécifiques de chaque article de la norme au détriment de l’obtention du résultat
escompté du système de management. Certains articles des normes ISO relatives aux systèmes de management
ne se prêtent pas aisément à l’audit en termes de comparaison entre un ensemble de critères et le contenu d’une
procédure ou d’une instruction de travail. Dans ces situations, il convient que les auditeurs fassent appel à leur
jugement professionnel pour déterminer si l’intention de l’article a été satisfaite.

22/164
Une attitude professionnelle de scepticisme est nécessaire pour réduire le risque de négliger des circonstances
peu communes (p. ex. manipulation, fraude) et de tirer des conclusions d'audit incorrectes.
Les auditeurs ne devraient pas prendre la parole des représentants de l'audité pour des faits ; ils
devraient plutôt chercher des preuves pour appuyer les affirmations des représentants de l'audité.
Réaliser un audit avec scepticisme professionnel implique d'y prêter une attention particulière :
Information documentée qui contredit ce que dit l'audité
Information qui jette un doute sur la fiabilité de l’information documentée
Circonstances pouvant indiquer une fraude éventuelle

23/164
Les fraudes sont des irrégularités ou des actes illégaux commis avec l'intention de tromper afin d'obtenir des
avantages personnels ou organisationnels.
Les auditeurs devraient contacter les membres du comité d'éthique de l'organisme de certification ou un
conseiller juridique indépendant pour obtenir des conseils sur les mesures à prendre dans de telles
circonstances. Les auditeurs devraient également vérifier s'ils ont l'obligation de signaler les
circonstances de leur mission au client de l'audit ou aux autorités de régulation.
Il existe plusieurs situations différentes d'irrégularités et d'actes illégaux que les auditeurs peuvent observer lors
d'un audit :
1. Actes illégaux à signaler : Partout dans le monde, des pays ont établi des lois qui obligent les
professionnels à signaler les actes illégaux observés, tels que le blanchiment d'argent, la pornographie
infantile, la corruption, la préparation d'actes terroristes, etc. Le Sarbanes-Oxley Act de 2002 et le Foreign
Corrupt Practices Act de 1977, promulgués aux États-Unis, sont des exemples de lois qui comportent des
articles sur les sujets à déclarer. Pour pouvoir agir correctement dans les situations qui doivent être
signalées, les auditeurs doivent être capables de porter un jugement éclairé.
Exemple: Un comptable effectuant un audit de certification du système de management peut
signaler la situation de fraude financière observée même si l'audit des états financiers n'en fait pas
l'objet.
2. Irrégularités ou actes illégaux commis par l'organisme : Parfois, les auditeurs peuvent constater des
irrégularités ou des actes illégaux liés à l'audit et l'organisme admettra la faute.
Exemple: En effectuant un audit, l'auditeur découvre que tous les logiciels utilisés au sein de
l'organisme sont des copies illégales. Afin de comprendre la situation et de valider l'exactitude des
informations obtenues, ils rencontrent la direction, qui confirme que le logiciel est trop cher et que
l'organisme accepte le risque d'être poursuivi. Étant donné que la norme exige que les organismes
se conforment aux lois, l'auditeur ne peut accepter cette réponse. Par conséquent, une non-
conformité majeure doit être émise. Cependant, les éditeurs de logiciels ou la police n'ont pas
nécessairement besoin d'être informés.

24/164
3.Irrégularités ou actes illégaux commis ouvertement et en connaissance de cause : Souvent, les auditeurs
peuvent découvrir des irrégularités ou des actes illégaux qui sont commis à la connaissance de l'organisme
audité. Dans de telles situations, les auditeurs devraient évaluer s'il convient de signaler les faits à la direction de
l'organisme et si la situation présente une non-conformité.
Exemple: Au cours de l'audit, l'auditeur constate qu'un employé possède un certain nombre de fichiers
musicaux téléchargés illégalement sur son bureau. L'auditeur devrait le signaler à l'organisme et évaluer
avec la direction si la situation observée est une non-conformité ou non.
Dans la mesure où la mise au jour de certaines irrégularités pourrait gravement nuire à l'organisme concerné, les
auditeurs s'assureront du respect de certaines conditions avant de procéder à toute divulgation publique,
notamment :
Le fait que des mesures correctives existent au sein de l'organisme et ont été utilisées ou activées avant la
dénonciation publique la situation. Une telle dénonciation ne devrait avoir lieu qu'en dernier recours ou à
titre exceptionnel.
Les auditeurs doivent agir de bonne foi lorsqu'ils condamnent l'organisme et être en mesure de justifier
leur jugement par des motifs défendables de façon objective, notamment la prévention de la criminalité, la
sécurité publique ou la sécurité du personnel de l'organisme. Les auditeurs ne dénonceront évidemment
pas l'organisme dans un but de vengeance ou de préjudice, ce qui serait par ailleurs une violation de leur
engagement à agir de manière neutre.
L'ampleur de l'intervention publique ne devrait pas être disproportionnée par rapport aux objectifs définis.
La dénonciation est limitée aux faits nécessaires et pertinents après avoir soigneusement vérifié
l'exactitude des faits à l’aide des meilleurs moyens disponibles. Cette condition est considérée comme très
importante par les tribunaux et ceux-ci sont très sévères à l'égard des dénonciateurs qui révèlent de
fausses situations.
Les auditeurs ne seront tenus responsables que de leurs propres déclarations. Ils ne seront pas tenus
responsables de la mauvaise interprétation, de l'exagération ou des commentaires indûment suggestifs
des médias ou d'autres parties intéressées après la publication de l'information.
Il convient également de mentionner que les meilleures pratiques de gouvernance d'entreprise recommandent à
tous les organismes de prévoir une politique de divulgation répréhensible qui établit des contre-mesures pour les
employés qui souhaitent dénoncer de tels actes. Cette politique encadrera efficacement la portée des
divulgations qui peuvent avoir lieu à la suite des audits, mais aussi pour empêcher les divulgations publiques par
25/164
les employés de l'organisme, divulgations qui pourraient nuire à la réputation de l'organisme.

26/164
Les auditeurs devraient préserver la confidentialité des informations révélées par un client, une entité auditée ou
un employeur. Ils devraient prendre des mesures raisonnables pour s'assurer que le personnel sous leur
contrôle, ainsi que les personnes qui les conseillent et les aident, respectent leur obligation de confidentialité.
Les auditeurs devraient toujours préserver la confidentialité des informations, même dans leur
environnement social. Ils devraient également être conscients des possibilités de divulgation résultant d'une
négligence.
La nécessité de respecter le principe de confidentialité demeure même après la fin de la relation entre un
auditeur, un client et un audité. Lors d'un changement d'emploi ou de l'acquisition d'un nouveau client, les
auditeurs peuvent utiliser l'expertise acquise lors d'activités précédentes. Toutefois, ils ne devraient pas utiliser
ou révéler des informations confidentielles acquises ou reçues au cours d'une relation professionnelle ou
d’affaires.

27/164
Dans le cadre des engagements juridiquement exécutoires, l’organisme de certification doit être responsable de
la gestion de toutes les informations obtenues ou générées au cours de ses activités de certification à tous les
niveaux de son organisation, y compris celui des comités et des organismes ou personnes externes agissant en
son nom.
L’organisme de certification doit indiquer au client, à l’avance, les informations qu’il a l’intention de rendre
publiques. Toutes les autres informations, à l’exception de celles rendues publiques par le client, doivent être
considérées comme confidentielles.
Sauf spécification contraire dans la présente partie de l’ISO/IEC 17021, les informations relatives à un client
certifié ou à une personne en particulier ne doivent pas être divulguées à un tiers sans le consentement écrit du
client certifié ou de la personne qui les a fournies.
Lorsqu’un organisme de certification est tenu par la loi, ou autorisé par des dispositions contractuelles (comme
avec l’organisme d’accréditation), à divulguer des informations confidentielles, le client ou la personne en
question doit être avisé, sauf si la loi l’interdit, des informations fournies.
Les informations relatives au client obtenues par d’autres sources que le client lui-même (par exemple plaignant,
autorités de réglementation) doivent être considérées comme confidentielles, conformément à la politique de
l’organisme de certification.
Le personnel, mais aussi tous les membres des comités, les fournisseurs, le personnel d’organismes ou de
personnes externes agissant au nom de l’organisme de certification, doivent préserver la confidentialité de toutes
28/164
les informations obtenues ou générées au cours des activités de l’organisme de certification, sauf spécification
contraire dans la loi.
L’organisme de certification doit disposer de processus, et le cas échéant, d’équipements et d’installations lui
permettant d’assurer en toute sécurité le traitement des informations confidentielles.

29/164
Les auditeurs professionnels sont ou peuvent être invités à divulguer des informations confidentielles dans
certaines circonstances particulières. Cela peut être approprié quand :
1. La divulgation est autorisée par la loi, par le client de l'audit ou par l'audité. Par exemple :
Rédaction d'une analyse de rentabilité pour la mission d'audit
2. La divulgation est requise par la loi. Par exemple :
Fourniture de documents ou d'autres preuves avant une procédure judiciaire
Divulgation des violations aux autorités publiques compétentes
3. Il existe une obligation ou un droit de divulgation lorsque ce n'est pas interdit par la loi. Par
exemple :
Pour se conformer à un examen de qualité d'un membre ou d'un professionnel
Pour répondre à une enquête ou à une demande d'un membre ou d'un organisme de normalisation
Pour protéger les intérêts d'un auditeur professionnel dans le cadre d'une procédure judiciaire
Pour se conformer aux normes et exigences éthiques

30/164
ISO 19011, article 4e (suite)
Il convient que les auditeurs soient indépendants de l’activité auditée et n’aient ni parti pris ni conflit d’intérêt dans
toute la mesure du possible. Pour les audits internes, il convient que les auditeurs soient, si possible,
indépendants de la fonction auditée. Il convient que les auditeurs conservent un état d’esprit objectif tout au long
du processus d’audit pour s’assurer que les constatations et conclusions d’audit sont uniquement fondées sur les
preuves d’audit.
Pour les petits organismes, il peut se révéler impossible pour les auditeurs internes d’être totalement
indépendants de l’activité auditée, mais il convient de s’efforcer d’établir des relations sans parti pris et de créer
un climat d’objectivité.
L'indépendance de l'auditeur vis-à-vis de l'entité auditée (en apparence et en fait) est la base pour
préserver l'impartialité et l'objectivité de l'audit et des conclusions de l'audit. L'indépendance est la
liberté contre l'interférence. Lorsque les auditeurs sont indépendants, ils devraient rendre des jugements
impartiaux. L'indépendance des auditeurs peut également être assurée par l'indépendance de l'organisme
de certification, et non par l'audité, et par le respect du code de conduite des auditeurs (par exemple,
divulgation de tous les liens avec l'audité, refus des cadeaux).
Indépendance d'esprit : L'indépendance d'esprit permet d'exprimer une conclusion sans être influencé,
car cela affecterait le jugement professionnel. Cet état d'esprit permet à un auditeur d'agir avec intégrité,
objectivité et scepticisme professionnel.
Apparence d’indépendance : Les actions (faits ou circonstances) qui seraient perçues par un tiers
informé (avant la connaissance de toutes les informations appropriées) comme un manque d'intégrité,
d'objectivité ou de scepticisme professionnel au nom d'une organisation ou de l'un de ses membres
doivent être évitées. Par exemple, les auditeurs qui sortent fréquemment avec un audité pourraient faire
croire à un manque d'objectivité de leur part.

31/164
ISO/IEC 17021-1, article 4.2.4 (suite)
Les méthodes de recueil d’informations comprennent, sans toutefois s’y limiter:
a)les intérêts personnels: cette menace est due au fait qu’une personne ou une entité agisse dans son propre
intérêt. Son intérêt financier représente une menace susceptible de compromettre l’impartialité d’une certification;
Interprétation : Les auditeurs doivent faire savoir avant le début de l'audit s'ils ont des intérêts personnels ou
sont liés à l'audité (par exemple, s'ils détiennent des parts dans l'organisation ou s'ils ont contracté un prêt auprès
de celle-ci). Il est important de souligner que les auditeurs ne sont pas payés sur la base des conclusions de
l'audit.
b)l’autoévaluation: cette menace est due au fait qu’une personne ou une entité évalue son propre travail. Auditer
les systèmes de management d’un client auquel l’organisme de certification a prodigué des conseils en matière
de système de management crée un risque dû à l’autoévaluation;
Interprétation : Les auditeurs ne peuvent pas auditer les travaux qu'ils ont effectués ou auxquels ils ont
participé. Les auditeurs ne peuvent accepter un mandat de leur employeur qu'après un délai raisonnable. La
règle empirique est généralement de deux ans, mais le délai peut être plus court, en fonction de l'implication
préalable des auditeurs dans le système qui sera audité.
c)la familiarité (ou confiance): cette menace est due au fait d’entretenir une trop grande proximité relationnelle
ou de faire trop confiance aux personnes auditées plutôt que de rechercher des preuves lors des audits;
Interprétation : En pratique, les auditeurs devraient refuser d'effectuer un audit lorsque des membres de leur
famille proche ont des responsabilités importantes dans les systèmes à auditer. La divulgation des conflits
d'intérêts est obligatoire si les auditeurs procèdent à l'audit où un conflit d'intérêts est un problème.
d)l’intimidation: cette menace est due au fait qu’une personne ou une entité éprouve la sensation de subir des
pressions directes ou insidieuses, par exemple la menace d’être remplacée ou dénoncée à sa hiérarchie.
Interprétation : Les auditeurs doivent exposer les cas où ils sont soumis à des pressions ou à des menaces. Par
exemple, cela peut se traduire par un refus de payer une facture jusqu'à ce qu'un rapport favorable soit envoyé à
l'audité.

32/164
Accepter des cadeaux d'un audité peut menacer et jeter un doute sur l'indépendance de l'auditeur. Tout cadeau
ou toute marque d'hospitalité, à moins que ce ne soit pas d'une valeur significative, pourrait affecter
l'indépendance de l'auditeur ou l'apparence d’indépendance. Il est donc recommandé à l'auditeur de refuser
poliment. Ce n'est pas un problème si un auditeur, par exemple, accepte une tasse avec le logo de l'audité
comme souvenir. Toutefois, si un auditeur accepte une croisière comme cadeau de la part d'un audité, cela
constitue sans aucun doute un conflit d'intérêts.
Bien que certains cadeaux puissent être de faible valeur, le risque qu'ils altèrent, ou soient perçus comme tel, le
jugement professionnel d'un auditeur est toujours présent. Il est donc recommandé que l'auditeur évalue
soigneusement chaque situation. L'étiquette en matière de cadeaux et d'hospitalité varie d'un pays à l'autre. Dans
certains pays, le refus de cadeaux peut être considéré comme offensant. Il est donc très important d'être informé
sur les coutumes locales.
La transparence est essentielle au sein de l'équipe d'audit ; les auditeurs doivent faire preuve de transparence
dans leur acceptation de cadeaux et d'hospitalité, ce qui renforce l'honnêteté et l'intégrité de l'équipe d'audit.
Note : Un auditeur n'a pas à éviter de créer des relations personnelles. Toutefois, dans un cadre
professionnel, l'auditeur doit faire preuve de jugement et de bon sens lorsqu’on lui offre des cadeaux et des
marques d'hospitalité. Cela signifie que l'auditeur doit éviter toute association qui pourrait être perçue comme un
conflit d'intérêts.

33/164
ISO/IEC 17021-1, article3.3 Conseil en matière de système de management
contribution à l’établissement, à la mise en œuvre ou à l’entretien d’un système de management
EXEMPLE 1 Préparation ou établissement de manuels ou de procédures.
EXEMPLE 2 Fourniture de conseils, d’instructions ou de solutions spécifiques en matière d’élaboration et de mise
en œuvre d’un système de management.
Note1 à l’article: Organiser des formations et y participer en tant que formateur ne relèvent pas des activités de
conseil, à condition de se limiter, lorsque les cours portent sur des systèmes de management ou des audits, à
fournir des informations et des conseils génériques; c’est-à-dire qu’il convient de ne pas fournir de solutions
spécifiques à un client.
Note2 à l’article: La fourniture d’informations génériques, mais pas de solutions spécifiques à un client pour
améliorer des processus ou des systèmes, ne relève pas des activités de conseil. Ces informations peuvent
inclure:
l’explication de la signification et de l’objectif des critères de certification;
l’identification des opportunités d’amélioration;
l’explication des théories, méthodologies, techniques ou outils associés;
le partage d’informations non confidentielles sur les bonnes pratiques associées;
d’autres aspects du management qui ne sont pas couverts par le système de management audité.
ISO/IEC 17021-1, article5.2.7
Lorsqu’un client a reçu des conseils en matière de systèmes de management de la part d’un organisme qui est en
relation avec un organisme de certification, cela constitue une menace significative pour l’impartialité. Il est
reconnu que pour atténuer cette menace, l’organisme de certification ne doit pas certifier le système de
management de ce client au moins dans les deux années qui suivent la fin de l’activité de conseil.

34/164
Les activités d’évaluation de la conformité doivent être menées de manière impartiale. L’organisme de certification
doit être responsable de l’impartialité de ses activités d’évaluation de la conformité et ne doit laisser aucune
pression commerciale, financière ou autre compromettre cette impartialité.
La direction de l’organisme de certification doit s’engager à exercer ses activités de certification desystèmes de
management en toute impartialité. L’organisme de certification doit disposer d’une politique par laquelle il
reconnaît l’importance de l’impartialité dans l’exercice de ses activités de certification des systèmes de
management, et qu’il assure la bonne gestion des conflits d’intérêts et l’objectivité de ses activités de certification
de systèmes de management.
L’organisme de certification doit disposer d’un processus pour identifier, analyser, évaluer, traiter, surveiller et
documenter les risques liés aux conflits d’intérêts résultant de la certification envisagée, y compris tous les
conflits dus à ses propres relations, de façon continue. En cas de menaces pour l’impartialité, l’organisme de
certification doit documenter et apporter la preuve de la manière dont il élimine ou limite ces menaces au minimum
et documenter tout risque résiduel. La démonstration doit couvrir toutes les menaces potentielles identifiées, que
ce soit au sein de l’organisme de certification ou du fait des activités d’autres personnes, entités ou organismes.
Lorsqu’une relation menace de compromettre l’impartialité de manière inacceptable (par exemple dans le cas
d’une filiale appartenant 100% à l’organisme de certification demandant une certification de sa société mère), la
prestation de certification ne doit pas être fournie.
La direction doit passer en revue tout risque résiduel afin de déterminer s’il se situe dans les limites d’unrisque
acceptable.
Le processus d’évaluation des risques doit comprendre l’identification et la consultation des partiesintéressées
appropriées, pour donner des conseils sur des sujets affectant l’impartialité, y comprisla transparence et l’image
publique. La consultation des parties intéressées appropriées doit être équilibrée, sans prédominance d’un intérêt
particulier.

35/164
Un organisme de certification ne doit pas certifier le système de management de la qualité d’un autre organisme
de certification.
Un organisme de certification et toute autre partie de la même entité juridique et toute entité sous le contrôle
organisationnel de l’organisme de certification [voir 9.5.1.2, point b)] ne doivent pas proposer ou fournir des
prestations de conseil en matière de système de management. Cela s’applique également à une partie d’une
entité gouvernementale identifiée comme organisme de certification.
NOTE Cela n’exclut pas la possibilité d’échange d’informations (par exemple explication des constats
ouclarification des exigences) entre l’organisme de certification et ses clients.
La réalisation d’audits internes par l’organisme de certification et toute autre partie de la même entité juridique à
ses clients certifiés constitue une menace significative pour l’impartialité. Par conséquent, l’organisme de
certification et toute autre partie de la même entité juridique et toute entitésous le contrôle organisationnel de
l’organisme de certification [voir 9.5.1.2, point b)] ne doivent pas proposer ou fournir des prestations d’audits
internes à ses clients certifiés. Il est reconnu que pour atténuer cette menace, l’organisme de certification ne doit
pas certifier un système de management pour lequel il effectue des audits internes, et ce au moins dans les deux
années qui suivent la fin des audits internes.

36/164
L’organisme de certification ne doit pas sous-traiter des audits à un organisme de conseil en matière de système
de management dans la mesure où ce fait constitue une menace inacceptable à l’impartialité de l’organisme de
certification. Cela ne s’applique pas aux auditeurs individuels sous contrat.
Les activités de l’organisme de certification ne doivent pas être présentées ou proposées comme liées aux
activités d’un organisme de conseil en matière de système de management. L’organisme de certification doit
prendre des mesures appropriées pour corriger les liens ou les déclarations inappropriés d’un organisme de
conseil déclarant ou suggérant que la certification serait plus simple, plus facile, plus rapide ou moins onéreuse si
l’on faisait appel à un organisme de certification donné. De même, un organisme de certification ne doit pas
déclarer ou suggérer que la certification serait plus simple, plus facile, plus rapide ou moins onéreuse si l’on
faisait appel à un organisme de conseil spécifié.
Afin de garantir l’absence de conflit d’intérêts, le personnel s’étant chargé d’une activité de conseil, y compris les
personnes agissant dans une structure de direction, ne doit pas participer, pour le compte de l’organisme de
certification, à un audit ou à des activités de certification s’il a pris part à des activités de conseil sur le même
système de management vis-à-vis du client. Il est reconnu que pour atténuer cette menace, il ne doit pas être fait
appel à ce personnel au moins dans les deux années qui suivent la fin de l’activité de conseil.
L’organisme de certification doit prendre les mesures nécessaires lorsque son impartialité est menacée par les
actions d’individus, d’organismes ou d’organisations.
L’ensemble du personnel de l’organisme de certification, qu’il soit interne ou externe, et les comités qui pourraient
influencer les activités de certification, doivent agir de manière impartiale et ne pas permettre que toutes
pressions, commerciales, financières ou autres puissent compromettre l’impartialité.

37/164
Les organismes de certification doivent exiger du personnel, qu’il soit interne ou externe, de leur révéler toute
situation dont il a connaissance et qui pourrait créer pour ces personnes ou pour l’organisme de certification un
conflit d’intérêts. Les organismes de certification doivent enregistrer et utiliser ces informations comme données
d’entrée pour identifier les menaces que font peser sur l’impartialité les activités de ce personnel ou des
organismes qui les emploient et ne doivent pas faire appel à ce personnel, qu’il soit interne ou externe, sauf s’ils
peuvent apporter la preuve qu’il n’y a pas de conflit d’intérêts.

38/164
ISO 19011, article 4f (suite)
Il convient que les preuves d’audit soient vérifiables. Il convient généralement qu’elles s’appuient sur des
échantillons des informations disponibles, dans la mesure où un audit est réalisé avec une durée et des
ressources délimitées. Il convient d’utiliser l’échantillonnage de manière appropriée, dans la mesure où cette
utilisation est étroitement liée à la confiance qui peut être accordée aux conclusions d’audit.
Les conclusions de l'audit doivent toujours être fondées sur des preuves suffisantes et appropriées. En
l'absence de preuves, un auditeur ne peut pas tirer de conclusions fiables sur le respect des critères d'audit.
ISO19011, article6.4.7 Recueil et vérification des informations
Pendant l’audit, il convient de recueillir, à l’aide d’un échantillonnage approprié, les informations relatives aux
objectifs, au champ et aux critères d’audit, y compris les informations relatives aux interfaces entre les fonctions,
activités et processus, puis de les vérifier dans la mesure du possible.
Il convient de n’accepter comme preuves d’audit que les informations pouvant faire l’objet d’un certain degré de
vérification. Lorsque le degré de vérification est faible, il convient que l’auditeur fasse appel à son jugement
professionnel pour déterminer le degré de confiance pouvant être accordé à ces informations en tant que
preuves. Il convient d’enregistrer les preuves d’audit aboutissant aux constatations d’audit. Si, au cours du recueil
des preuves objectives, l’équipe d’audit est informée de tout risque nouveau ou modifié, de toute opportunité
nouvelle ou modifiée ou de toute situation nouvelle ou modifiée, il convient de les traiter en conséquence.
Pour gagner et maintenir la confiance, il est essentiel que les décisions d’un organisme de certification soient
fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées par l’organisme de
certification, et que les décisions ne soient pas faussées par d’autres intérêts ou d’autres parties.

39/164
1. Absence de négligence : L'auditeur a fait preuve de diligence pendant l'audit et a suivi les bonnes
pratiques, ainsi que les principes fondamentaux d'audit. Un auditeur ne peut être tenu responsable de la
dissimulation d'informations, de la fraude, de la production de faux documents, etc. par l'audité si une
personne qualifiée n'aurait pas pu déceler des irrégularités avant l'audit. Un auditeur n'est pas un
enquêteur ou un officier de police.
Exemple: L'auditeur n'a pas détecté une non-conformité majeure lors de l'audit, bien qu'il ait suivi
les meilleures pratiques d'audit de manière professionnelle. Ainsi, la situation fait partie de
l'incapacité à détecter le risque dans toutes les activités liées à l'audit, mais l'auditeur n'a pas été
négligent.
Conséquences pour l'audit et l'auditeur : Il n'y a pas d'impact, car l'audit a été effectué
conformément aux pratiques professionnelles actuelles.
2. Négligence ordinaire : L'auditeur a fait preuve d'un manque de diligence.
Exemple: L'auditeur n'a pas suivi les bonnes pratiques d'audit. En outre, il a accepté un mandat
pour lequel il n'avait pas les qualifications et les compétences nécessaires.
Conséquences pour l'audit et l'auditeur : Les constatations de l'audit ne seront pas remises en
question et un nouvel audit ne sera pas nécessaire pour délivrer un certificat à l'audité Toutefois,
certains aspects de l'audit qui sont considérés comme faibles devraient faire l'objet d'une attention
particulière lors du prochain audit de surveillance. Une note disciplinaire peut être inscrite au dossier
de l'auditeur. Une meilleure supervision et une meilleure formation peuvent être nécessaires pour
assurer qu'une situation similaire ne se reproduise pas.

40/164
3.Négligence grave : L'auditeur a fait preuve d'un manque total de diligence. Il n'a pas rapporté les faits que
n'importe qui aurait pu facilement observer, même sans être qualifié pour réaliser un audit.
Exemple: L'auditeur n'a pas effectué l'audit et a soumis un rapport d'audit accommodant.
Conséquences pour l'audit et l'auditeur : Les constatations de l'audit seront contestées et un nouvel
audit sera attribué avant que l'audité n'obtienne la certification. Des sanctions disciplinaires, allant jusqu'au
licenciement, doivent être imposées à l'auditeur.
4.Fraude : L'auditeur a consciemment et délibérément participé à la production ou à la déclaration d'une fausse
représentation des faits pour tromper une autre partie.
Exemple: L'auditeur a participé, avec l'audité, à la fabrication des preuves ou a choisi d'ignorer les non-
conformités majeures.
Conséquences pour l'audit et l'auditeur : Les constatations de l'audit seront contestées et un nouvel
audit sera demandé avant que l'audité n'obtienne la certification. La révocation de l'auditeur est considérée
comme la sanction appropriée en cas de fraude.

41/164
Au cours de leur carrière, les auditeurs devront probablement résoudre des problèmes liés à l'éthique. Pour
travailler à une solution, ils doivent prendre en compte :
Les faits
Les positions et les intérêts des parties concernées
Les questions éthiques soulevées par la situation
Les principes éthiques invoqués
Les politiques et procédures définies que l'auditeur doit suivre
Les différentes solutions de remplacement et les impacts potentiels
Le responsable de l'équipe d'audit doit chercher et trouver la solution la plus appropriée pour chaque problème
particulier. Si cela n'est pas possible (par exemple, si l'équipe d'audit considère qu'elle n'a pas les compétences
nécessaires pour résoudre le problème), un autre professionnel (auditeur, avocat, éthicien, etc.) devrait être
consulté. Une autre option consiste à confier les questions et le problème à une autre personne compétente.
La plupart du temps, les organismes de certification mettent en place un comité d'éthique qui peut être
consulté par les auditeurs pour résoudre les problèmes éthiques.

42/164
Pour s'assurer que le processus d'audit est mené efficacement, les auditeurs devraient suivre une approche par
les risques en se concentrant sur les domaines d'audit qui présentent le plus grand risque. Le processus d'audit
serait inefficace si les auditeurs consacraient le même niveau d'effort et utilisaient les mêmes techniques dans
des domaines d'audit moins risqués. Ainsi, l'approche par les risques d'audit contribue à améliorer l'efficacité des
audits.
Une façon d'aborder la planification de l'audit et les tests en tenant compte de l'approche par les risques est
l'approche descendante. Une approche descendante est le classement des procédures d'audit détaillées, de celle
qui présente le risque le plus élevé à celle qui présente le risque le plus faible. Les auditeurs devraient utiliser
leur jugement professionnel pour mettre en œuvre une approche descendante sur les risques.

43/164
ISO 19011, article 6.3.2.1 Approche par les risques pour la planification (suite)
Il convient d’adapter le niveau de détail du plan d’audit au champ et à la complexité de l’audit, ainsi qu’au risque
de ne pas réaliser les objectifs de l’audit.
Les risques pour l’audité peuvent provenir de la présence des membres de l’équipe d’audit qui influe
négativement sur les dispositions prises par l’audité en matière de santé et de sécurité, d’environnement et de
qualité, et sur ses produits, ses services, son personnel ou son infrastructure (par exemple contamination dans
des salles blanches).
Pour les audits combinés, il convient d’accorder une attention toute particulière aux interactions entre les
processus opérationnels et d’éventuels objectifs et priorités concurrents des différents systèmes de management.

44/164
En raison de la nature du processus d'audit, chaque audit est un défi pour les auditeurs, étant donné qu'il n'existe
pas deux organismes ayant la même complexité d'opérations.

45/164
Source : Pickett, K.H. Spencer. Audit Planning: A Risk-Based Approach. New Jersey: Wiley, 2013.

46/164
Source : Pickett, K.H. Spencer. Audit Planning: A Risk-Based Approach. New Jersey: Wiley, 2013.

47/164
ISO 19011, article 7.1 Généralités (suite)
Il convient que ce processus tienne compte des besoins du programme d’audit et de ses objectifs. Certaines
connaissances et aptitudes sont communes aux auditeurs de toutes les disciplines de systèmes de management;
d’autres sont spécifiques aux disciplines de chaque système de management. Il n’est pas nécessaire que chaque
auditeur de l’équipe d’audit possède les mêmes compétences. La compétence globale de l’équipe d’audit doit
cependant être suffisante pour que les objectifs de l’audit soient atteints.
Il convient de planifier, de mettre en œuvre et de documenter l’évaluation de la compétence des auditeurs afin de
fournir un résultat objectif, cohérent, juste et fiable. Il convient que le processus d’évaluation comprenne quatre
étapes principales:
a. déterminer la compétence requise pour répondre aux besoins du programme d’audit;
b. déterminer les critères d’évaluation;
c. choisir la méthode d’évaluation appropriée;
d. réaliser l’évaluation.
Il convient que le résultat du processus d’évaluation fournisse une base pour
la sélection des membres de l’équipe d’audit;
la détermination de la nécessité d’une amélioration de la compétence (par exemple formation
complémentaire);
l’évaluation continue de la performance des auditeurs.
La confiance et la fiabilité accordées au processus d'audit dépendent de la compétence globale de l'équipe
d'audit. Cette compétence repose sur la démonstration des qualités personnelles de chaque auditeur et de sa
capacité à appliquer les principes d'audit. Les compétences des auditeurs sont basées sur un processus
d'apprentissage rigoureux et sur le maintien des compétences : formation initiale, formation continue et
expérience professionnelle

48/164
ISO 19011, article3.22 Compétence
aptitude à mettre en pratique des connaissances et des savoir-faire pour obtenir les résultats escomptés
Les trois dimensions de la compétence :
1. La connaissance est la connaissance de faits, de vérités ou de principes au cours d'une étude ou d'une
enquête. C'est la maîtrise des concepts et des connaissances théoriques.
2. L’aptitude fait référence à la compétence pratique et à l'expertise d'un individu.
3. L'attitude fait référence à la capacité de se comporter en fonction des caractéristiques de
l'environnement, de la situation ou des personnes.
ISO/IEC 27007, article7.2.4 Atteindre la compétence d'auditeur
7.2.4.2 Les auditeurs de SMSI devraient avoir des connaissances et des aptitudes en matière de technologies de
l'information et de sécurité de l'information, démontrées par exemple par des certifications pertinentes (p. ex.
accrédités selon la norme ISO/IEC 17024). L'expérience professionnelle individuelle des auditeurs du SMSI
devrait également contribuer au développement de leurs connaissances et de leurs compétences dans le
domaine du SMSI.

49/164
ISO19011, article7.2.2 Comportements personnels (suite)
Il convient que les auditeurs possèdent les qualités personnelles nécessaires pour leur permettre d’agir en accord
avec les principes de l’audit décrits à l’Article 4. Il convient que les auditeurs se comportent professionnellement
pendant la réalisation des activités d’audit. Les comportements professionnels souhaités consistent à être:
a. intègres, c’est-à-dire justes, attachés à la vérité, sincères, honnêtes et discrets;
b. ouverts d’esprit, c’est-à-dire soucieux de prendre en considération des idées ou des points de vue
différents;
c. diplomates, c’est-à-dire faisant preuve de tact et d’habileté dans les relations avec les autres;
d. observateurs, c’est-à-dire activement attentifs à l’environnement physique et aux activités associées;
e. perspicaces, c’est-à-dire appréhendant instinctivement et capables de comprendre les situations;
f. polyvalents, c’est-à-dire ayant de la facilité à s’adapter à différentes situations;
g. tenaces, c’est-à-dire persévérants et concentrés sur l’atteinte des objectifs;
h. capables de décision, c’est-à-dire capables de tirer en temps voulu des conclusions fondées sur un
raisonnement et une analyse logiques;
i. autonomes, c’est-à-dire sachant agir et travailler de son propre chef tout en établissant des relations
efficaces avec les autres;
j. capables d’agir avec courage, c’est-à-dire capables d’agir de manière responsable et déontologique même
si les actions entreprises peuvent ne pas toujours être appréciées et parfois donner lieu à un désaccord ou
une confrontation;
k. ouverts aux améliorations, c’est-à-dire sachant tirer des enseignements des situations;
l. ouverts aux différences culturelles, c’est-à-dire sachant observer et respecter les traditions culturelles de
l’audité;
m. acteurs en équipe, c’est-à-dire sachant travailler en parfaite collaboration avec des tiers, y compris les
membres de l’équipe d’audit et le personnel de l’audité.

50/164
ISO19011, article7.2.3.2 Connaissances et aptitudes générales des auditeurs de systèmes de management
(suite)
Il convient que les auditeurs possèdent des connaissances et des aptitudes dans les domaines suivants:
a)Principes, processus et méthodes d’audit: les connaissances et les aptitudes dans ce domaine permettent à
l’auditeur de s’assurer que les audits sont réalisés de manière cohérente et systématique.
Il convient qu’un auditeur sache:
comprendre les types de risques et d’opportunités liés à l’audit et les principes d’une approche par les
risques de l’audit;
planifier et organiser le travail de manière efficace;
réaliser l’audit dans le temps imparti;
définir les priorités et se concentrer sur les sujets importants;
communiquer efficacement, oralement et par écrit (soit personnellement, soit en ayant recours à des
interprètes);
recueillir les informations par des entretiens efficaces, en écoutant, en observant et en passant en revue
des informations documentées, y compris des enregistrements et des données;
comprendre l’adéquation et les conséquences du recours à des techniques d’échantillonnage pour l’audit;
appréhender et tenir compte des avis des experts techniques;
auditer un processus du début à la fin, y compris les corrélations avec d’autres processus et des fonctions
différentes, le cas échéant;
vérifier la pertinence et l’exactitude des informations recueillies;
confirmer le caractère suffisant et adéquat des preuves d’audit pour étayer les constatations et les
conclusions d’audit;
évaluer les facteurs qui peuvent affecter la fiabilité des constatations et des conclusions d’audit;
documenter les activités d’audit et les constatations d’audit, et préparer des rapports;
préserver la confidentialité et la sécurité des informations.

51/164
b)Normes de système de management et autres références: les connaissances et les aptitudes dans ce domaine
permettent à l’auditeur de comprendre le champ de l’audit et d’appliquer les critères d’audit et il convient qu’elles
couvrent:
les normes de systèmes de management ou d’autres documents normatifs ou guides/documents connexes
utilisés pour la détermination des critères ou méthodes d’audit;
l’application de normes de systèmes de management par l’audité et d’autres organismes;
les relations et les interactions entre les processus du ou des systèmes de management;
la compréhension de l’importance et de la priorité des multiples normes ou références;
l’application des normes ou références à des situations d’audit différentes.
c)L’organisme et son contexte: les connaissances et les aptitudes dans ce domaine permettent à l’auditeur de
comprendre la structure, la finalité et les pratiques de management de l’audité et il convient qu’elles couvrent:
les besoins et attentes des parties intéressées pertinentes ayant un impact sur le système de management;
le type d’organisme, sa gouvernance, sa taille, sa structure, ses fonctions et ses relations;
les concepts généraux d’entreprise et de management, les processus et la terminologie associée, y
compris la planification, la budgétisation et la gestion des personnes;
le contexte culturel et social de l’audité.
d)Exigences légales et réglementaires et autres exigences applicables: les connaissances et les aptitudes dans
ce domaine permettent à l’auditeur de connaître et de travailler dans le cadre des exigences qui s’appliquent à
l’organisme. Il convient que les connaissances et aptitudes spécifiques au domaine de compétence ou aux
activités, processus, produits et services de l’audité couvrent:
les exigences légales et réglementaires et les autorités de réglementation associées;
la terminologie légale de base;
les contrats et obligations.
NOTE La connaissance des exigences légales et réglementaires n’implique pas de compétence juridique et il
convient de ne pas traiter l’audit d’un système de management comme un audit de conformité juridique.

52/164
ISO 19011, article 7.2.3.4 Compétence générale du responsable d’une équipe d’audit
Pour faciliter la réalisation efficace et efficiente de l’audit, il convient que le responsable d’une équipe d’audit ait la
compétence nécessaire pour:
a. planifier l’audit et attribuer les tâches d’audit selon la compétence spécifique de chaque membre de
l’équipe d’audit;
b. discuter de questions stratégiques avec la direction de l’audité afin de déterminer si ces questions ont été
prises en considération lors de l’évaluation de leurs risques et opportunités;
c. établir et maintenir une relation de travail en collaboration entre les membres de l’équipe d’audit;
d. manager le processus d’audit, y compris:
utiliser efficacement les ressources au cours de l’audit;
gérer l’incertitude liée à l’atteinte des objectifs de l’audit;
assurer la protection de la santé et de la sécurité des membres de l’équipe d’audit pendant l’audit, y
compris s’assurer que les auditeurs respectent les dispositions pertinentes en matière de santé, de
sécurité et de sûreté;
diriger les membres de l’équipe d’audit;
diriger et conseiller les auditeurs en formation;
prévenir et résoudre les conflits pouvant survenir pendant l’audit, y compris au sein de l’équipe
d’audit, si nécessaire;
e. représenter l’équipe d’audit lors des communications avec la ou les personnes responsables du
management du programme d’audit, le client de l’audit et l’audité;
f. amener l’équipe d’audit à élaborer les conclusions d’audit;
g. préparer et établir le rapport d’audit.

53/164
ISO 19011, article 7.2.3.3 Compétence des auditeurs spécifique à la discipline et au secteur
Il convient que les équipes d’audit aient les compétences collectives spécifiques à la discipline et au secteur
appropriés à l’audit des types particuliers de systèmes de management et des secteurs d’activité considérés.
La compétence des auditeurs spécifique à la discipline et au secteur comprend les éléments suivants:
a. les exigences et les principes des systèmes de management, et leur application;
b. les principes fondamentaux de la (des) discipline(s) et du (des) secteur(s) associés aux normes de
systèmes de management appliquées par l’audité;
c. l’application des méthodes, techniques, processus et pratiques spécifiques à la discipline et au secteur
pour permettre à l’équipe d’audit d’évaluer la conformité dans le cadre du champ d’audit défini et de
générer des constatations et conclusions d’audit appropriées;
d. les principes, méthodes et techniques pertinents pour la discipline et le secteur, pour permettre à l’auditeur
de déterminer et d’évaluer les risques et opportunités associés aux objectifs de l’audit.
ISO/IEC 27006, Annexe A.3.1 Connaissances typiques liées aux SMSI
Les auditeurs devraient avoir une connaissance et une compréhension des sujets d'audit et de SMSI suivants:
programmation et planification de l'audit ;
type d'audit et méthodologies;
risque d'audit;
analyse des processus de sécurité de l'information;
amélioration continue;
audit interne de la sécurité de l'information.
Les auditeurs devraient avoir une connaissance et une compréhension des exigences réglementaires suivantes:
propriété intellectuelle;
contenu, protection et conservation des enregistrements de l'organisme;
protection des données et de la vie privée;
réglementation des mesures cryptographiques;
commerceélectronique;
54/164
ISO/IEC 27006, Annexe A.3.1 Connaissances typiques liées aux SMSI (suite)
signatures électroniques et numériques;
surveillance du lieu de travail;
interception des télécommunications et surveillance des données (p. ex. le courrier électronique);
malveillance informatique;
collecte de preuves électroniques;
test de pénétration;
exigences internationales et nationales spécifiques à un secteur (par exemple, le secteur bancaire).

55/164
Exercice2: Éthique
Comment, en tant qu'auditeur principal, géreriez-vous les situations suivantes? Préparez-vous à discuter de vos
réponses en classe.
1. L'audité vous demande la permission d'utiliser les notes d'audit pour créer une étude de cas sur la
réalisation de l'audit. Cette étude de cas sera utilisée à des fins internes et aucun nom ne sera mentionné.
2. Lors d'un audit, vous découvrez une grande quantité de photos de pornographie juvénile sur l'un des
serveurs de l'organisme.
3. Un ancien employé de l'organisme que vous êtes sur le point d'auditer vous contacte pour vous informer
que l'organisme a plusieurs problèmes de sécurité qu'il tente de dissimuler avant l'audit. Cette personne
propose d'envoyer des preuves documentées pour étayer ses affirmations.
4. Vous avez détecté une non-conformité lors de l'audit d'un petit organisme. Vous pensez que cette non-
conformité s'est produite parce que l'employé responsable a été récemment embauché et n'a pas
l'expérience nécessaire pour effectuer la tâche. Vous soupçonnez fortement que, si vous signalez la non-
conformité, le cadre supérieur de l'organisme, un homme au tempérament vif, se mettra en colère contre
l'employé et le congédiera.
Durée de l’exercice : 30 minutes
Commentaires : 20 minutes

56/164
1. Que fournit ISO 19011 ?
A. Lignes directrices pour les auditeurs des mesures de sécurité de l'information
B. Lignes directrices de l’audit
C. Exigences pour les organismes d’audit et de certification
2. La Société X a évalué et amélioré sa gestion des risques et ses processus de base en utilisant les
informations et les recommandations fournies par les activités de _______________.
A. Audit interne
B. Audit externe
C. Audit de seconde partie
3. L'audité détermine les objectifs de l'audit.
A. Vrai
B. Faux
4. L'auditeur a émis un rapport défavorable pour la Société 1 en examinant strictement les preuves
d'audit. Il n'a pas été intimidé lorsque la Société 1, le principal client de son cabinet d'audit, a
menacé de résilier le contrat si le rapport d'audit ne lui convenait pas. Quel principe d'audit a été
suivi par l'auditeur ?
A. Indépendance
B. Confidentialité
C. Restitution impartiale

57/164
5.Quel type d'approche d'audit se concentre sur les questions qui sont importantes pour l'audité ?
A. Approche par les risques
B. Audit basé sur les preuves
C. Approche spécifique au secteur
6.Le responsable de l'équipe d'audit doit avoir la compétence nécessaire pour :
A. Préparer les conclusions d'audit
B. Gérer les signatures numériques dans les rapports d'audit
C. Interpréter les résultats des tests d’intrusion (pentest)

58/164
Résumé de la section :
La planification de l'audit par les risques exige des auditeurs qu'ils se concentrent sur le risque tout au long
de leurs activités d'audit.
Le responsable de l’équipe d'audit doit être professionnellement compétent pour planifier un audit en
utilisant efficacement les ressources, pour gérer et conseiller les membres de l'équipe d'audit, pour
prévenir et résoudre les conflits, et pour préparer, expliquer et défendre les conclusions de l'audit.

59/164
Cette section donne un aperçu de l'impact des tendances et de la technologie dans la réalisation d'un audit. Les
facteurs importants à cet égard sont l'utilisation de mégadonnées, l'intelligence artificielle, l’apprentissage
automatique et le cloud computing.

60/164
En utilisant des modèles sophistiqués d'apprentissage automatique, les auditeurs peuvent détecter la fraude plus
facilement. Grâce aux processus automatisés et à la capacité de l'IA à traiter de grands volumes de données, les
auditeurs peuvent accomplir leurs tâches plus efficacement. L'utilisation de la technologie dans les audits
permettra d'automatiser diverses tâches manuelles qui prennent beaucoup de temps et qui étaient auparavant
effectuées par l'équipe d'audit. De plus, l'IA dans l'audit contribue à minimiser les coûts.
D'autre part, les auditeurs doivent être très prudents lorsqu'ils utilisent ces nouveaux outils technologiques en
raison des enjeux de sécurité. Des contrôles de qualité devraient être constamment mis en œuvre afin de
s'assurer que les auditeurs recueillent les preuves appropriées tout en utilisant ces outils.

61/164
La différence entre les données structurées et non structurées
Les données structurées ont un modèle de données défini et sont basées sur une base de données
relationnelle. Parmi les exemples de données structurées figurent les bases de données SQL (Structured
Query Language) et les fichiers Microsoft Excel qui comportent des tableaux, des lignes et des colonnes
structurés.
Les données non structurées n'ont pas de modèle de données prédéfini et sont basées sur des données
binaires. Des exemples de données non structurées sont MongoDB et Apache Giraph.

62/164
63/164
64/164
65/164
66/164
Il existe deux grands types d’apprentissage automatique :
L’apprentissage automatique supervisé, qui est utilisé dans le contexte de la classification et de la
régression. Les algorithmes utilisés dans l’apprentissage automatique supervisé comprennent la
régression logistique, les machines à vecteurs de support, etc. L'objectif de la classification et de la
régression est de trouver la structure des données d'entrée afin de produire des données de sortie
précises.
L’apprentissage automatique non supervisé comprend le regroupement, l'apprentissage par
représentation et l'estimation de la densité. Il regroupe des données basées uniquement sur les résultats.
Les algorithmes utilisés dans l’apprentissage automatique non supervisé comprennent les autocodeurs,
l'analyse des composants principaux et le regroupement. L'analyse des groupes est la méthode la plus
courante.

67/164
68/164
NIST SP 500-291, chapitre 3
L'informatique en nuage est un modèle permettant un accès réseau omniprésent, pratique et à la demande à un
ensemble partagé de ressources informatiques configurables (p. ex. réseaux, serveurs, stockage, applications et
services) qui peuvent être rapidement approvisionnées et libérées avec un minimum d'efforts de gestion ou
d'interaction avec le fournisseur de services.
Les services d'informatique en nuage fonctionnent différemment selon le fournisseur, mais ils servent tous le
même objectif. De nombreux fournisseurs proposent un tableau de bord convivial basé sur un navigateur
permettant à tous les professionnels TI de gérer facilement leur compte.
Parmi les avantages de l'informatique en nuage, on peut citer :
Coût : L'informatique en nuage réduit le coût nécessaire à la gestion et à la maintenance du système de
réseau.
Flexibilité : Le système en nuage donne aux employés une plus grande flexibilité en leur donnant la
possibilité d'accéder aux données où qu'ils se trouvent.
Sécurité : L’infonuagique promeut la sécurité de l’information, car les données sont accessibles quoi qu'il
arrive à la machine.
Productivité : L'informatique en nuage supprime de nombreuses tâches telles que la correction des
logiciels, le racking and stacking, la configuration du matériel, etc., permettant aux équipes TI de consacrer
du temps à la réalisation d'objectifs métier plus importants.
Fiabilité : En cas d'incident, si le plan de continuité d'activité de l'organisme comprend des services de
sécurité dans le nuage, les données ne seront très probablement pas perdues. Au contraire, elles seront
sécurisées dans un endroit sûr.
Note : L'interface de programmation d'application (IPA) permet à différentes applications de communiquer entre
elles.

69/164
Note : La diapositive fournit une représentation visuelle des services que vous gérez (fond jaune) et des services
qui sont fournis en tant que service par le fournisseur cloud (fond blanc).
Quelques exemples d'entreprises qui utilisent des services d'informatique en nuage :
IaaS est utilisée par AWS EC2, Google Compute Engine (GCE) et DigitalOcean.
PaaS est utilisée par AWS Elastic Beanstalk, Heroku, Force.com, Apache et Commerce Cloud.
SaaS est utilisé par BigCommerce, Google Apps, Salesforce, Dropbox, DocuSign et Slack.

70/164
71/164
Il est important pour l'auditeur de recueillir des preuves d'audit concernant les accords contractuels entre
les deux parties (l'audité et la personne ou l'organisme externalisé). Cela peut se faire en menant des
entretiens avec les personnes responsables afin de vérifier si les exigences spécifiées dans le contrat sont
respectées. Si les exigences n'ont pas été spécifiées au départ, l'auditeur doit demander à l'audité
comment la qualité des services est contrôlée et dans quelle mesure l'autre partie (personne ou
organisation externalisée) est tenue responsable.
Comme pour les systèmes hébergés en interne, lorsqu'on externalise des opérations, un plan de reprise
après sinistre doit être mis en place. Le fait de ne pas être préparé à un sinistre entraînera très
probablement des interruptions prolongées et des perturbations des activités. Cette étape est
particulièrement applicable au cloud computing, à l'hébergement dédié et à l'externalisation des services
hors site.
Les services en nuage sont accessibles par un navigateur Internet, tandis qu'une unité commerciale peut
faire appel à un fournisseur de services cloud et externaliser les systèmes et les données liés à l'entreprise
sans avoir à le dire à qui que ce soit d'autre. Cela permet de contourner tous les processus de
gouvernance en place pour assurer la sécurité des données, des systèmes, des capacités de soutien, etc.
Cette étape peut être complétée en examinant les politiques de l'organisme, en déterminant si les
employés sont informés d'une telle politique et en déterminant comment la faire appliquer.
Une résiliation de contrat, si l'organisme ne peut pas rétablir le service en interne, entraînerait une
perturbation importante des activités. Cette étape peut être complétée en déterminant si l'organisme
dispose de plans documentés qui indiquent comment il pourrait ramener les fonctions en interne. Si cela
n'est pas possible, l'auditeur doit vérifier s'il existe des preuves que d'autres prestataires de services ont
été identifiés. L'auditeur devrait s'assurer qu'une analyse a été effectuée concernant le temps nécessaire
pour assurer la transition des services et déterminer si des plans d'urgence appropriés sont en place pour
maintenir l'activité dans l'intervalle.

72/164
Si les employés du prestataire de services ne sont pas qualifiés pour effectuer leur travail ou si le
prestataire connaît un taux de rotation élevé, la qualité des services informatiques sera évidemment
mauvaise. Ce risque augmente généralement avec les opérations externalisées, où la rotation de
personnel tend à être plus élevée. Cette étape peut être complétée par une révision du contrat afin de
s'assurer que les descriptions de poste et les qualifications minimales pour chaque poste sont
documentées. L'échantillonnage peut être utilisé pour vérifier que les exigences minimales ont été
respectées. L'auditeur peut examiner les processus du fournisseur visant à dispenser de la formation pour
améliorer les compétences et les connaissances et il peut demander des preuves que la politique de
formation est suivie par les employés.
Source : Davis, Chris, Mike Schiller, and Kevin Wheeler. IT Auditing: Using Controls to Protect Information
Assets. McGraw-Hill, 2011.

73/164
1. Quel est l'impact des nouvelles technologies dans les processus d'audit ?
A. Accroître l'efficacité de l'audit et contribuer à réduire les coûts
B. Réduire l'efficacité des audits car cela augmente le besoin de contrôles de qualité
C. Réduire la transparence et augmenter le temps nécessaire pour effectuer les essais techniques
2. Laquelle des réponses suivantes est un exemple de données structurées ?
A. MongoDB
B. Structured Query Language (SQL)
C. Apache Giraph
3. Comment les outils informatiques de mégadonnées (big data) peuvent-ils être utiles aux auditeurs
?
A. En récupérant des données qui peuvent être considérées comme sensibles
B. En mettant en œuvre des mesures de contrôle plus qualitatives
C. En combinant des données structurées et non structurées pour mener efficacement l'appréciation
des risques
4. L'apprentissage automatique supervisé est utilisé pour regrouper les données sur la base des
seuls résultats et comprend le regroupement, l'apprentissage par représentation et l'estimation de
la densité.
A. Vrai
B. Faux
5. L’ __________________ comprend la fourniture de services hébergés sur l'internet, tels que l’IaaS
ou le PaaS.
A. Externalisation
B. Informatique en nuage (Cloud computing)
C. Apprentissage automatique (Machine learning)

74/164
6.Quels services sont gérés par le fournisseur de services cloud lorsqu'on utilise une infrastructure en
tant que service (IaaS) ?
A. Application et données
B. Réseau et stockage
C. Middleware et données
7.Quelle mesure un auditeur devrait-il prendre pour s'assurer de la compétence du personnel dans les
opérations externalisées ?
A. Examiner les processus du prestataire de services et les contrats des employés
B. Veiller à ce que les processus de reprise d’activité après sinistre soient en place
C. Revoir et évaluer le plan de l'organisme en cas de résiliation prévue ou imprévue du contrat
d'externalisation
8.Quels services peuvent être gérés par l'utilisateur lorsqu'il utilise la plate-forme en tant que service
(PaaS) ?
A. Virtualisation et serveurs
B. Durée d’exécution et middleware
C. Application et données
9.La régression linéaire et la régression logistique sont des algorithmes utilisés par :
A. Apprentissage automatique (Machine learning)
B. Externalisation des opérations
C. Informatique en nuage (Cloud computing)
10.L'intelligence artificielle générale est également connue sous le nom de :
A. IA forte
B. IA faible
C. IA supervisée

75/164
76/164
La présente section traite des différents types de preuves d'audit et de leur applicabilité dans un contexte d'audit
de SMSI.

77/164
Les preuves d'audit sont toutes les informations utilisées par les auditeurs pour déterminer si l'audité répond aux
critères d'audit. Les preuves d'audit sont par exemple une politique de sécurité de l'information, une liste d'actifs
et de leurs propriétaires, un rapport d'audit interne, des notes d'observation d'un processus, une photo d'une salle
de stockage, etc.
Les preuves qualitatives sont des preuves qui proviennent de l'analyse d'informations non quantifiables.
Il s'agit d'évaluer si un processus ou une mesure est conforme aux critères d'audit
Exemple: Un entretien avec les personnes responsables de la sécurité de l'information et des
procédures connexes sert de preuve pour valider si le processus de sécurité de l'information est
conforme aux exigences normatives.
Les preuves quantitatives sont des preuves qui proviennent de l'analyse d'un échantillon lié à la
détermination des critères d'audit. Les résultats quantifiés sont ensuite utilisés pour faire des estimations
sur l'ensemble de la population. Elle vise généralement à déterminer si un processus en cours est
fonctionnel et efficace.
Exemple: L'analyse d'un échantillon de 5 des 25 rapports de suivi des non-conformités rédigés par
l'organisme audité au cours de l'année écoulée servira de preuve, ce qui permettra aux auditeurs de
déterminer si l'organisme se conforme au processus de suivi qui vise à traiter les non-conformités
en conséquence et à assurer un SMSI efficace.

78/164
Il y a des cas où une preuve peut être une combinaison de plusieurs types de preuves d'audit.
Par exemple :
Un rapport d'audit externe est une preuve à la fois confirmative et documentaire.
La vérification de la configuration d'un échantillon de pare-feu est une preuve physique, technique et
analytique.

79/164
L'observation est utile pour vérifier l'existence d'une certaine preuve. Par exemple, l'auditeur peut vouloir ouvrir
les conteneurs d'expédition d'un organisme (faisant partie de l'inventaire) pour s'assurer qu'ils contiennent bien le
produit indiqué.
Exemples de preuves matérielles utilisées pour démontrer la conformité aux exigences de la norme ISO/IEC
27001 :
ISO/IEC 27001, Article 8.1 Planification et contrôle opérationnels : Observations documentées des auditeurs
concernant les opérations du SMSI
ISO/IEC 27001, AnnexeA.5.9 Utilisation acceptable des informations et autres actifs associés:
Observations documentées des auditeurs et notes d'inspection de l'inventaire des actifs
ISO/IEC 27001, Annexe A.7.2 Accès physique : Observations documentées des auditeurs sur les contrôles
physiques d'entrée

80/164
Les preuves mathématiques sont largement utilisées dans les audits financiers pour vérifier l'équilibre des
comptes. Ce type de preuve est fiable, mais il ne permet d'établir une assurance que sur l'exactitude
mathématique du calcul.
Voici des exemples de preuves mathématiques utilisées pour déterminer la conformité aux mesures de la norme
ISO/IEC 27001 :
ISO/IEC 27001, Annexe A.6.3 Sensibilisation, apprentissage et formation à la sécurité de l’information :
Calculer le nombre d'heures de formation (liées au SMSI) reçues par les employés et confirmer si cela répond
aux objectifs
ISO/IEC 27001, Annexe A.5.27 Tirer des enseignements des incidents liés à la sécurité de l’information :
Calculer le temps moyen de résolution des incidents de sécurité de l'information à partir d'un échantillon prélevé
par l'auditeur
Note : Bien que les auditeurs doivent vérifier l'existence d'un budget spécifique à la sécurité de l'information
(article 5.1c), ils n'ont pas à en vérifier l'exactitude.

81/164
La fiabilité des preuves confirmatives dépendra de la fiabilité que l'audité peut donner au tiers qui fournit
les preuves. Ce type de preuve est généralement fiable s’il est produit par une entité indépendante (qui devrait
être externe à l'audité), comme un rapport d'audit d'une grande entreprise, un avis juridique d'un bureau
d'avocats reconnu, etc.
Voici des exemples de preuves confirmatives utilisées pour déterminer la conformité aux exigences de la norme
ISO/IEC 27001 :
ISO/IEC 27001, Article7.2 Compétence : Certificat professionnel délivré par un organisme reconnu qui offre des
certifications professionnelles
ISO/IEC 27001, AnnexeA.8.22 Cloisonnement des réseaux : Rapport d'un consultant externe montrant que les
services d'information, les utilisateurs et les groupes de systèmes d'information sont séparés sur le réseau
ISO/IEC 27001, Annexe 5.31 Exigences légales, statutaires, réglementaires et contractuelles: Lettre d'un
avocat externe à l'organisme qui confirme les différentes législations auxquelles l'organisme doit se conformer

82/164
La preuve technique consiste à valider le fonctionnement des processus techniques.
Lors de l'audit d'un système de management, les auditeurs ne recueillent jamais ce type de preuves.
Dans la plupart des cas, ils observent les configurations et le fonctionnement de divers systèmes et
équipements, ainsi que les résultats des tests techniques effectués par l'organisme ou par une tierce partie
mandatée par l'audité ou le client de l'audit.
Voici des exemples de preuves techniques utilisées pour déterminer la conformité aux exigences de la norme
ISO/IEC 27001 :
ISO/IEC 27001, AnnexeA.8.21 Sécurité des services de réseau : Les notes d'observation de l'auditeur sur la
configuration des pare-feu mis en place pour assurer la sécurité de la connexion aux services de réseau
conformément aux politiques et procédures relatives à la sécurité des connexions de réseau de l'organisme
audité
ISO/IEC 27001, Annexe A.8.26 Exigences de sécurité des applications : Résultat des tests de simulation de
transactions dans un système de paie pour valider si les déductions sont calculées conformément aux politiques
financières de l'organisme

83/164
Voici des exemples de preuves analytiques utilisées pour démontrer la conformité aux exigences de la norme
ISO/IEC 27001 :
ISO/IEC 27001, Article7.3 Sensibilisation : Analyse des résultats d'un échantillon d'employés qui mesure leur
compréhension des contrôles de sécurité en place
ISO/IEC 27001, AnnexeA.5.18 Droits d’accès : Analyse des résultats de la procédure de suppression des droits
d'accès sur un échantillon d'utilisateurs ayant quitté l'organisation
ISO/IEC 27001, AnnexeA.6.8 Signalement des événements liés à la sécurité de l’information: Analyse des
résultats d'un échantillon de fiches d'événements liés à des incidents de sécurité de l'information

84/164
La fiabilité de ce type de preuve dépend de la nature des documents, de leur source et du processus de gestion
de la documentation.
Voici des exemples de preuves documentaires utilisées pour déterminer la conformité aux exigences de la
norme ISO/IEC 27001 :
ISO/IEC 27001, Article 5.2 Politique : Vérification de la politique de sécurité de l'information de l'organisme
ISO/IEC 27001, AnnexeA.6.6 Engagements de confidentialité ou de non-divulgation : Vérification des
accords de confidentialité
ISO/IEC 27001, AnnexeA.8.13 Sauvegarde des informations : Vérification de la politique et de la procédure de
sauvegarde de l’information

85/164
Les preuves verbales sont moins fiables que les autres types de preuves et nécessitent des preuves
supplémentaires. Malgré cela, ce type de preuves est surtout utilisé par les auditeurs lors des audits.
Ce type de preuve peut être obtenu par une confirmation écrite de la déclaration verbale d'un employé (p. ex. une
confirmation écrite qu'une séance de sensibilisation du personnel du service financier a eu lieu à une date
donnée, même si l'audité n'a pas tenu de registre de présence ou d'agenda).
Exemples de preuves verbales utilisées pour déterminer la conformité aux exigences de la norme ISO/IEC
27001 :
ISO/IEC 27001, Article 5.1 Leadership et engagement : Notes sur les discussions tenues avec la direction
expliquant leur engagement en faveur du système de management de la sécurité de l'information
ISO/IEC 27001, AnnexeA.5.2 Rôles et responsabilités liées à la sécurité de l’information : Notes sur la
discussion tenue avec le personnel de l'audité expliquant leurs rôles et responsabilités en matière de sécurité de
l'information
ISO/IEC 27001, AnnexeA.5.6 Relations avec des groupes de travail spécialisés : Notes sur la discussion
tenue avec le responsable de la sécurité de l'information expliquant leurs contacts avec des groupes d'intérêt
particuliers

86/164
Les preuves d'audit doivent être pertinentes et fiables afin de pouvoir être considérées comme
appropriées.
Le fait que les preuves soient pertinentes sert de base aux auditeurs pour évaluer la conformité aux
critères d'audit. Par exemple, un organigramme et une description de poste sont pertinents pour vérifier la
séparation des tâches, mais ne seraient pas appropriés pour vérifier si les employés sont compétents.
La fiabilité des preuves est définie par l'American Institute of Certified Public Accountants (AICPA)
comme «la qualité des informations qui assure qu'elles sont raisonnablement exemptes d'erreurs et
qu'elles représentent fidèlement ce qu'elles prétendent représenter» (Statement of Financial Accounting
Concepts No. 2).
Les preuves d'audit devraient atteindre un niveau d'assurance acceptable pour qu'elles puissent être
considérées comme suffisantes. Le niveau d'assurance requis dépendra du type d'audit. L'auditeur
déterminera le type et la quantité de preuves à exiger. Leur expérience sera importante pour déterminer ces
éléments. Les ressources disponibles auront également un impact. Les auditeurs doivent tenir compte du fait
qu'ils disposent d'un certain temps et de ressources pour clôturer l'audit.
Par exemple, il est rare que les auditeurs, lors d'un audit ISO/IEC 27001, effectuent une analyse approfondie
(avec échantillonnage) des mesures liées au numéro de version des documents. Souvent, ils n'observeront que
l’information documentée relative à la version des documents (identification, séparation, disposition, etc.) et les
éléments spécifiques dans la salle des dossiers et à plusieurs postes de travail.

87/164
1. Objectivité de la preuve : Une preuve objective est une preuve fondée sur des faits et des preuves. Par
exemple, l'inspection des caméras de surveillance est une preuve d'audit plus objective que la simple
réception de photos (il n'y a pas de preuve que les photos n'ont pas été éditées). Une photo est néanmoins
plus objective qu'une simple déclaration de l'audité indiquant que des caméras sont installées.
2. Durée de la preuve : La preuve est plus fiable s'il est possible d'obtenir l'assurance qu'elle a été recueillie
au moment indiqué (par exemple, timbre postal, enregistrement des transactions sur un ordinateur externe
au système audité). Dans cette situation, la fiabilité de la preuve dépend de la fiabilité du mécanisme
d'enregistrement du temps. Par exemple, la date de création indiquée dans les propriétés d'un document
Microsoft Word n'est pas fiable, car elle peut être facilement modifiée. Toutefois, la réception d'une lettre
envoyée par courrier sera très fiable pour indiquer l'heure précise de la preuve.
3. Indépendance de la source : Les preuves d'un audit sont plus fiables si elles sont produites par un tiers
indépendant (par exemple, une lettre émanant d'un client, un rapport de test d'intrusion effectué par une
entreprise extérieure, un rapport d'audit externe ou des factures de fournisseurs).
4. Techniques de collecte de preuves : La fiabilité des preuves dans un audit dépend également des
techniques de collecte utilisées. Ce point est particulièrement important pour les preuves techniques et les
enregistrements numériques, comme les journaux et les enregistrements électroniques.
5. Système de contrôle interne : Lorsqu'un système de contrôle interne est efficace, les auditeurs peuvent
s'appuyer sur un ensemble de contrôles pour évaluer l'efficacité d'une preuve jugée moins fiable.

88/164
En fin de compte, plus une preuve est objective, plus elle est considérée comme fiable.
Vous trouverez ci-dessous des exemples de types de preuves qui pourraient être recueillies pour valider la
conformité à la norme ISO/IEC 27001, Annexe A.8.7 Protection contre les logiciels malveillants :
1. Preuve matérielle : Observation de l'antivirus sur les postes de travail
2. Preuve mathématique : Réconciliation du nombre d'ordinateurs appartenant à l'audité et du nombre de
licences antivirus acquises
3. Preuve confirmative : Confirmation par un fournisseur de matériel informatique qu'un antivirus valide est
préinstallé sur chaque poste de travail vendu à l'organisme
4. Preuve technique : Vérification de la configuration de l'antivirus pour valider le processus de mise à jour
5. Preuve analytique : Analyse des tickets d'incident impliquant la contamination d'un ordinateur par un virus
6. Preuve documentaire : Vérification de la procédure concernant la mise à jour des documents
7. Preuve verbale : Entretien avec le technicien responsable de la gestion de l'antivirus pour expliquer le
fonctionnement et les processus liés aux logiciels antivirus : installation, mises à jour, etc.

89/164
1. La preuve d’audit doit être :
A. Vérifiable
B. Matérielle
C. Réfutable
2. Une preuve peut être une combinaison de plusieurs types de preuves d'audit.
A. Vrai
B. Faux
3. Un rapport d'audit externe représente quel type de preuve ?
A. Matérielle
B. Confirmative
C. Analytique
4. Comment un auditeur peut-il vérifier la conformité à la mesure A.5.18 Droits d’accès de la norme
ISO/IEC 27001 en utilisant une preuve analytique ?
A. En analysant les résultats de la procédure de suppression des droits d'accès sur un échantillon
d'utilisateurs à la fin de leur contrat
B. En analysant la procédure de suppression ou d’adaptation des droits d’accès
C. En analysant le test de simulation de suppression des droits d'accès
5. Qu'est-ce qui rend une preuve d'audit appropriée ?
A. Elle est suffisante
B. Elle est pertinente et fiable
C. Elle est approuvée

90/164
6.Quel type de preuves d'audit est considérée comme le moins fiable ?
A. Verbale
B. Confirmative
C. Matérielle
7.Quel type de preuve constitue l'observation de la configuration d’un pare-feu (firewall) ?
A. Analytique
B. Mathématique
C. Technique

91/164
92/164
Cette section présente les types de risques d'audit, explique comment déterminer et évaluer les risques et
opportunités d'un programme d'audit selon la norme ISO 19011, et introduit le concept d’importance relative et la
manière de déterminer l’importance relative d'un système.

93/164
Les risques inhérents désignent les risques qui se produisent dans le système de management malgré les
mécanismes de contrôle interne d'un organisme. Ces défauts sont liés au secteur industriel dans lequel l'audité
opère.
Les risques de contrôles font référence au risque qu'un défaut important ne soit pas détecté ou empêché par
les mécanismes de contrôle interne de l'organisme. Ces risques, selon les auditeurs, sont plus élevés dans les
organismes qui ont des processus mal définis et où ces processus sont principalement manuels. En revanche,
les processus automatisés présentent un risque d'échec plus faible dans la mesure où ils sont bien configurés.
Les risques de détection désignent les risques qu'un défaut important ne soit pas détecté, même par l'auditeur.
Afin de minimiser ces risques, les auditeurs appliquent les principes d'audit basés sur les risques (voir les
diapositives suivantes) ou sur l'importance relative.
RISQUE D'AUDIT = RISQUE INHÉRENT + RISQUE DE CONTRÔLE + RISQUE DE DÉTECTION
ISO 19011, article 3.19 Risque
effet de l’incertitude
Note1 à l’article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note2 à l’article: L’incertitude est l’état, même partiel, de manque d’information qui entrave la compréhension ou la
connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note3 à l’article: Un risque est souvent caractérisé en référence à des événementspotentiels et des
conséquences, potentielles, ou à une combinaison des deux.
Note4 à l’article: Un risque est souvent exprimé en termes de combinaison des conséquences d'un événement
(incluant des changements de circonstances) et de vraisemblance.

94/164
ISO 19011, article 5.3 Détermination et évaluation des risques et des opportunités du programme d’audit
(suite)
Des risques peuvent être associés aux éléments suivants:
a. la planification, par exemple manquements dans l’établissement d’objectifs d’audit pertinents et dans la
détermination de l’étendue, du nombre, de la durée, des lieux et du calendrier des audits;
b. les ressources, par exemple délai, équipement et/ou formation insuffisants octroyés au développement du
programme d’audit ou à la réalisation d’un audit;
c. la constitution de l’équipe d’audit, par exemple compétence globale insuffisante pour réaliser les audits de
manière efficace;
d. la communication, par exemple inefficacité des processus/circuits de communication externe/interne;
e. la mise en œuvre, par exemple coordination inefficace des audits du programme d’audit ou non prise en
compte de la sécurité et de la confidentialité des informations;
f. la maîtrise des informations documentées, par exemple détermination inefficace des informations
documentées nécessaires requises par les auditeurs et les parties intéressées pertinentes, défaut de
protection adéquate des enregistrements d’audit pour démontrer l’efficacité du programme d’audit;
g. la surveillance, la revue et l’amélioration du programme d’audit, par exemple surveillance inefficace des
résultats du programme d’audit;
h. la disponibilité et la coopération de l’audité et la disponibilité de preuves à échantillonner.
Les opportunités d’amélioration du programme d’audit peuvent comprendre:
la possibilité de réaliser plusieurs audits en une seule visite;
la réduction du temps et des distances pour se rendre sur le site;
la concordance entre le niveau de compétence de l’équipe d’audit et le niveau de compétence requis pour
atteindre les objectifs de l’audit;
l’alignement des dates d’audit avec la disponibilité du personnel clé de l’audité.

95/164
ISO 19011, Annexe A.10 Audit des risques et opportunités (suite)
Il convient qu’un auditeur respecte les étapes suivantes et recueille des preuves objectives comme suit:
a. les données d’entrée utilisées par l’organisme pour déterminer ses risques et opportunités; elles peuvent
comprendre:
l’analyse des enjeux externes et internes;
l’orientation stratégique de l’organisme;
les parties intéressées, liées à son système de management spécifique à la discipline, ainsi que
leurs exigences;
les sources potentielles de risque, telles que les aspects environnementaux, et les dangers liés à la
sécurité, etc.;
b. la méthode d’évaluation des risques et opportunités, qui peut varier d’une discipline ou d’un secteur à
l’autre.
Le traitement par l’organisme de ses risques et opportunités, y compris le niveau de risque qu’il souhaite accepter
et la façon dont il maîtrise le risque, nécessitera le recours au jugement professionnel de l’auditeur.

96/164
Le concept d’importance relative provient du domaine de la comptabilité. Les auditeurs financiers mesurent
généralement l'importance relative en termes monétaires puisque ce qu'ils contrôlent est également mesuré et
rapporté en termes monétaires. L’importance relative dépend de la nature de l'information ou de la gravité de
l'erreur dans les circonstances particulières de son omission ou de sa déclaration erronée.
Selon le contexte de l'audité, l'auditeur doit estimer un seuil d’importance relative à partir duquel les
parties intéressées pourraient modifier leurs décisions concernant l'audité.
Par exemple, une perte d'inventaire de 50 000$, non déclarée ou non détectée par l'auditeur, sera considérée
comme non significative pour un organisme qui réalise 10 milliards de dollars de revenus par an, mais elle sera
considérée comme significative pour un organisme qui réalise 1 million de dollars de revenus par an.

97/164
Pour un SMSI, les éléments suivants doivent être pris en compte lors de la détermination de la matérialité :
1. Coût du processus (matériel, logiciel, frais de licence, ou une combinaison de ces éléments)
2. Coût des opérations (personnel, services tiers, frais généraux, ou une combinaison de ces éléments)
3. Coût potentiel des erreurs ou des non-conformités
4. Ressources nécessaires pour le processus
5. Conditions des accords de niveau de service et coûts des éventuelles sanctions
6. Sanctions en cas de manquement aux obligations légales, réglementaires ou contractuelles

98/164
L’importance relative est cruciale lorsqu'un processus est vital pour la réalisation de la mission de l'organisme.

99/164
Lorsqu'ils suivent les principes d'audit basés sur les risques, les auditeurs planifient leurs activités sur la base de
l’importance relative.
Elle est évaluée et identifiée à chaque étape de l'audit :
1. Premier contact : L’importance relative est prise en compte pour déterminer la durée de l'audit en
fonction des risques inhérents à l'organisme : secteur industriel, lois et règlements applicables, nombre
d'employés, nombre de postes de travail, type de systèmes utilisés, etc.
2. Étape1 de l’audit: Les auditeurs identifient les principaux processus afin de déterminer sur quels
processus ils mettront davantage l'accent lors de l'audit sur site, ainsi que les systèmes qui les
soutiennent. L’importance relative influencera donc le plan d'audit de l'étape 2.
3. Étape2 de l’audit (audit sur site): Les auditeurs adapteront leur plan en fonction de l’importance relative
de chaque processus ou actif.

100/164
Il existe des limites à l'audit, qui affectent la capacité des auditeurs à détecter une fausse représentation
matérielle :
L'incapacité à détecter les fausses représentations par des tests
Les problèmes dans les processus internes (par exemple, possibilité de collusion)
Le fait que la plupart des preuves d'audit sont persuasives plutôt que concluantes
Un audit de certification ISO/IEC 27001 de 10 000 employés durera 28 jours par personne, tandis que, pour le
même organisme, un audit de type SAS 70 ayant pour objectif de fournir une assurance pour chaque mesure,
durera environ 1 500 jours par personne.

101/164
1. Quel type de risques d’audit désigne les risques qui se produisent dans le système de
management malgré les mécanismes de contrôle interne d'un organisme.
A. Risque inhérent
B. Risque de contrôle
C. Risque de détection
2. Parmi les facteurs suivants, lesquels doivent être pris en compte pour déterminer l'importance
relative (materiality) d'un système ?
A. Changements organisationnels
B. Conditions des accords de niveau de service
C. Résultats d’audit
3. Lors d'un audit ISO/IEC 27001, les auditeurs doivent obtenir l'assurance absolue que chaque
processus est efficace et conforme aux exigences de la norme.
A. Vrai
B. Faux
4. L’importance relative est prise en compte pour déterminer la durée de l'audit en fonction des
risques inhérents à l'organisme lors de :
A. Premier contact
B. Étape1 de l’audit
C. Étape2 de l’audit
5. Qu’est-ce qu’un risque de contrôle ?
A. Le risque qu'un défaut important lié aux contrôles internes des organisations ne puisse être détecté
par l'auditeur
B. Le risque qu'un défaut important ne puisse être évité par les mécanismes de contrôle interne de
l'organisme
C. Le risque qui subsiste après la détection et la correction d'un défaut important d'un contrôle interne

102/164
6.Quelles sont les mesures prises lors de l'étape 1 de l'audit pour évaluer l'importance relative pendant
l'audit ?
A. Identifier les principaux processus à auditer
B. Déterminer la durée de l’audit
C. Ajuster le plan en fonction de l’importance relative de chaque processus ou actif

103/164
104/164
Cette section vise à fournir des informations sur la réception d'une offre d'audit, la nomination du responsable et
des autres membres de l'équipe d'audit, la détermination de la faisabilité de l'audit, l'acceptation de l'audit,
l'établissement de contacts avec l'audité et la définition du programme d'audit.

105/164
PECB a développé une méthodologie pour l'audit d'un système de management, connue sous le nom de
«Accepted Auditing Methodology for Management Systems and Standards (AMS2)». Cette méthodologie a été
développée sur la base des meilleures pratiques d'audit et des lignes directrices de la norme ISO 19011 ; elle
répond également aux exigences de la norme ISO/IEC 17021-1.
AMS2 se compose de six phases – semblable à un cycle d'audit :
1. Initiation du processus d’audit
2. Étape1 de l’audit
3. Préparation de l’étape2 de l’audit
4. Étape2 de l’audit
5. Conclusions d’audit
6. Après l’audit initial
Chaque phase comporte de trois à cinq étapes, qui sont ensuite divisées en activités. La méthodologie comprend
également deux processus de soutien, à savoir la «communication pendant l'audit» et la «gestion des risques
d'audit». Au cours de la formation, ces étapes seront présentées et illustrées dans un ordre chronologique.
Il convient de noter que les activités de chaque étape ne seront pas expliquées en détail au cours de la
formation, car elles dépendent du contexte spécifique de l'audit. Par exemple, la nomination du responsable de
l'équipe d'audit dépendra du fait que l'organisme de certification dispose ou non d'un auditeur qualifié. Cette
étape comporte une série d'activités, telles que l'entretien d'embauche, la signature d'un contrat, etc.

106/164
IEC 19011, article 6.2.1 Généralités
Il convient que la responsabilité de la réalisation de l’audit incombe au responsable de l’équipe d’audit désigné,
jusqu’à l’achèvement de l’audit.

107/164
Si l'auditeur est un employé à plein temps de l'organisme de certification, son engagement dans les audits est
déjà défini dans son contrat de travail. Par conséquent, il ne peut pas recevoir une telle offre d'audit officielle.

108/164
L'auditeur et l'organisme de certification doivent s'entendre sur les termes du mandat d'audit.

109/164
110/164
Il n'y a qu'un seul responsable d'équipe par audit, même dans le cas d'audits conjoints. Afin de planifier l'audit en
détail, le responsable de l'équipe d'audit doit être informé à l'avance des tâches et des responsabilités. En outre,
toutes les parties concernées devraient s'entendre sur les responsabilités spécifiques de chaque personne
impliquée, notamment sur l'autorité du responsable de l'équipe d'audit. Cela devrait être fait avant le début de
l'audit.
Note de terminologie: Le terme «responsable d'équipe d'audit»ne doit pas être confondu avec la désignation
professionnelle «auditeur principal(Lead Auditor) ». Le second se réfère à un individu qui possède la qualification,
tandis que le premier est attribué à un auditeur qui dirige une mission d'audit. Une équipe d'audit peut être
composée de plusieurs Lead Auditors certifiés, mais un audit dans son ensemble ne doit avoir qu'un seul
responsable.
ISO 19011, article 5.5.5 Attribution de la responsabilité d’un audit individuel au responsable de l’équipe
d’audit
Il convient que la ou les personnes responsables du management du programme d’audit attribuent la
responsabilité de la réalisation de l’audit individuel à un responsable de l’équipe d’audit.
Il convient de procéder à l’attribution dans un délai suffisant avant la date prévue de l’audit afin d’assurer la
planification efficace de ce dernier.
Pour s’assurer de la réalisation efficace des audits individuels, il convient de fournir au responsable de l’équipe
d’audit les informations suivantes:
a. les objectifs de l’audit;
b. les critères d’audit et toutes les informations documentées pertinentes;
c. le champ de l’audit, y compris l’identification de l’organisme et de ses fonctions et processus à auditer;
d. les processus d’audit et les méthodes associées;
e. la composition de l’équipe d’audit;
f. les informations de contact de l’audité, les lieux (sites), le calendrier et la durée des activités d’audit à
réaliser;
g. les ressources nécessaires à la réalisation de l’audit;
h. les informations nécessaires pour l’évaluation et le traitement des risques et opportunités identifiés pour la
réalisation des objectifs de l’audit;
111/164
i. les informations aidant le ou les responsables d’équipe d’audit dans leurs interactions avec l’audité pour
l’efficacité du programme d’audit.

112/164
ISO19011, article5.5.4 Choix des membres de l’équipe d’audit
Il convient que la ou les personnes responsables du management du programme d’audit nomment les membres
de l’équipe d’audit, y compris le responsable d’équipe et tous les experts techniques requis pour l’audit concerné.
Il convient de constituer une équipe d’audit en tenant compte des compétences nécessaires pour atteindre les
objectifs de l’audit individuel établis dans le cadre du champ défini. Lorsqu’il n’y a qu’un seul auditeur, il convient
qu’il remplisse toutes les fonctions applicables d’un responsable d’équipe d’audit.
Il convient que le processus permettant d’assurer la compétence globale de l’équipe d’audit comprenne les étapes
suivantes:
l’identification des compétences nécessaires pour atteindre les objectifs de l’audit;
la sélection des membres de l’équipe d’audit de sorte que les compétences nécessaires soient présentes
au sein de l’équipe d’audit.
Lors de la détermination de la taille et de la composition de l’équipe d’audit pour l’audit concerné, il convient de
tenir compte des éléments suivants:
a. la compétence globale de l’équipe d’audit nécessaire pour atteindre les objectifs de l’audit, compte tenu du
champ et des critères de ce dernier;
b. la complexité de l’audit;
c. le fait que l’audit est un audit combiné ou conjoint;
d. les méthodes d’audit choisies;
e. l’assurance de l’objectivité et de l’impartialité pour éviter tout conflit d’intérêt dans le cadre du processus
d’audit;
f. la capacité des membres de l’équipe d’audit à travailler et avoir des échanges efficaces avec les
représentants de l’audité et les parties intéressées pertinentes;
g. les enjeux externes/internes pertinents, tels que la langue de l’audit, et les caractéristiques du contexte
culturel et social spécifique à l’audité. Les propres aptitudes de l’auditeur ou l’aide d’un expert technique
peuvent permettre de répondre à ces points, en tenant également compte de la nécessité d’interprètes;
h. le type et la complexité des processus à auditer.

113/164
ISO 19011, article 5.5.4 Choix des membres de l’équipe d’audit (suite)
Le cas échéant, il convient que la ou les personnes responsables du management du programme d’audit
consultent le responsable de l’équipe sur la composition de l’équipe d’audit.
Lorsque les compétences nécessaires ne sont pas réunies par les auditeurs de l’équipe d’audit, il convient de
mettre à disposition des experts techniques ayant des compétences complémentaires pour soutenir l’équipe.
Les auditeurs en formation peuvent être incorporés à l’équipe d’audit, mais il convient qu’ils participent sous la
direction et les directives d’un auditeur.
Des modifications de la composition de l’équipe d’audit peuvent se révéler nécessaires au cours de l’audit, par
exemple en cas de conflit d’intérêt ou de problème de compétence. Lorsqu’une situation de cette nature survient,
il convient de la résoudre avec les parties concernées (par exemple le responsable de l’équipe d’audit, la ou les
personnes responsables du management du programme d’audit, le client de l’audit ou l’audité) avant de procéder
à d’éventuels modifications.
ISO/IEC 17021-1, article 9.2.2.1.3
Les connaissances et le savoir-faire nécessaires du responsable de l’équipe d’audit et des auditeurs peuvent être
complétés par des experts techniques, des traducteurs et des interprètes qui doivent opérer sous la direction d’un
auditeur. Lorsqu’il est fait appel à des traducteurs ou des interprètes, ceux-ci doivent être sélectionnés de sorte à
ne pas influencer l’audit outre mesure.
ISO 19011, Annexe A.7 Audit de la conformité dans le cadre d’un système de management
Il convient que l’équipe d’audit détermine si l’audité dispose de processus efficaces pour:
a. identifier les exigences légales et réglementaires et autres exigences qu’il s’est engagé à satisfaire;
b. gérer ses activités, produits et services de manière à satisfaire à ces exigences;
c. évaluer son état de conformité.
Outre les lignes directrices générales données dans le présent document, lors de l’évaluation des processus mis
en œuvre par l’audité pour assurer la conformité aux exigences pertinentes, il convient que l’équipe d’audit
détermine si l’audité:
114/164
1. dispose d’un processus efficace pour identifier les modifications apportées aux exigences de conformité et
pour les prendre en compte dans le cadre du management des modifications;
2. dispose de personnes compétentes pour gérer ses processus de conformité;
3. tient à jour et fournit des informations documentées appropriées sur son état de conformité, comme requis
par les autorités de réglementation ou d’autres parties intéressées;
4. inclut les exigences de conformité dans son programme d’audit interne;
5. traite tous les cas de non-conformité;
6. examine sa performance en matière de conformité lors des revues de direction.

115/164
Le client de l'audit ou l'audité peut demander le remplacement d'un membre de l'équipe d'audit pour des raisons
valables. Un motif évident serait qu’un auditeur ait précédemment fait preuve d’une conduite non professionnelle.
D'autres exemples de raisons valables sont les situations de conflit d'intérêts réel (un auditeur a déjà travaillé
pour l'audité) ou perçu comme tel (un auditeur a travaillé pour l'un des principaux concurrents de l'audité).
Dans certaines industries (armement, énergie nucléaire, service de renseignement, etc.), un audité peut
demander que chaque membre de l’équipe d’audit possède une habilitation de sécurité ou qu’il soit soumis à une
vérification de ses antécédents avant d’être admis sur le site.
Il est recommandé de communiquer ces motifs au responsable de l’équipe d’audit et aux responsables du
programme d’audit avant de prendre une décision concernant le remplacement d’un membre de l’équipe d’audit.

116/164
Lors de la détermination de la faisabilité de l'audit, il convient de tenir compte des éléments suivants :
Information nécessaire pour planifier l'audit : L'équipe d'audit doit disposer de l’information nécessaire
pour planifier et réaliser l'audit.
Coopération de la part de l'audité : L'équipe d'audit doit avoir un accès complet à l’information
nécessaire liée au SMSI. Par exemple, si un audité refusait l'accès de l'équipe d'audit aux configurations
de pare-feu en prétendant que les informations sont trop sensibles, il serait impossible de valider les
mesures correspondantes. En général, outre le fait de rappeler aux auditeurs l'accord de confidentialité, il
est recommandé que :
Avant l'audit, l'audité effectue une vérification des antécédents de chaque auditeur (casier judiciaire,
examen des références, etc.) ou exige que les auditeurs possèdent une habilitation de sécurité
valide et reconnue.
Les données sensibles ne soient accessibles que sur place et en présence d'un représentant de
l'audité à tout moment.
Durée prévue de l'audit : Si, selon les auditeurs, la durée d’audit proposée est insuffisante pour permettre
une évaluation adéquate du système de management, les auditeurs peuvent et ont le droit de refuser le
mandat d'audit. Par exemple, la norme ISO/IEC 27006 exige un minimum de 5 jours d'audit pour un SMSI
impliquant 10 employés ou moins. Cependant, il serait insensé d'accepter un audit de 5 jours (dont
seulement 3 jours sur site) dans une entreprise de recherche et développement du secteur
pharmaceutique, qui déclare comme acceptables toutes les mesures de la norme ISO/IEC 27001, Annexe
A, en plus d'une liste supplémentaire de mesures, et qui se conforme à plusieurs exigences légales et
réglementaires du contrat, même si l'organisme ne dispose que d'une équipe de 9 personnes.
Compétence des auditeurs : Le responsable de l'équipe d'audit doit s'assurer que l'équipe d'audit est
compétente pour mener à bien l'audit.
Aspects culturels : Les aspects culturels, tels que la langue de l'audité, doivent être pris en compte.
Toute question concernant la langue, ainsi que le contexte social et les caractéristiques de l'audité,
peuvent être traités soit par les auditeurs eux-mêmes, soit avec l'aide d'un expert technique.

117/164
Note : Lors de l'analyse de la faisabilité de l'audit, l'équipe d'audit doit tenir compte des cadres normatifs et
législatifs applicables à l'audité. Si l'audit n'est pas faisable, une autre solution doit être proposée à l'audité et au
client de l'audit.
ISO/IEC 27007, article 6.2.3.2
Avant le début de l'audit, il convient de demander à l'audité si certaines preuves d'audit du SMSI ne peuvent être
examinées par l'équipe d'audit, par exemple parce que ces preuves contiennent des informations d'identification
personnelle ou d'autres informations confidentielles/sensibles. Il convient que la personne responsable du
management du programme d'audit détermine si le SMSI peut être audité de manière adéquate en l'absence de
preuves d'audit. Si la conclusion est qu'il est impossible de procéder à un audit adéquat du SMSI sans examiner
les preuves d'audit identifiées, la personne responsable du management du programme d'audit doit informer
l'audité que l'audit ne peut avoir lieu tant que des autorisations d'accès appropriées ne sont pas accordées ou que
d'autres moyens de réaliser l'audit n'ont pas été proposés à ou par l'audité. Si l'audit se poursuit, le plan d'audit
doit tenir compte de toute limitation d'accès.

118/164
119/164
Les organismes de certification doivent donner aux auditeurs suffisamment de temps pour compléter l'audit. Le
temps disponible pour réaliser un audit peut varier en fonction de ce qui suit:
Périmètre du système de management
Complexité des processus du système de management
Champ d’activité de l’audité
Complexité et diversité des technologies utilisées
Nombre de sites à auditer
Audits précédents chez l’audité
Accords relatifs à des services externalisés
Règlements, lois et ententes contractuelles
Le temps minimum prévu pour un audit du SMSI est de cinq jours/personne. En général, les cinq jours sont
répartis comme suit :
0.5 jour : Étude de faisabilité et préparation de l'audit
1 jour : Étape 1 – Audit documentaire
3 jours : Étape 2 – Audit sur site
0.5 jour : Rédaction du rapport final
Cela signifie qu'un auditeur effectuant un audit de son propre chef doit, en cinq jours, diriger les réunions
d'ouverture et de clôture de l'audit, mener les entretiens et les tests, documenter les résultats et préparer les
conclusions de l'audit. Cela devient une tâche très difficile, voire impossible, à mener à bien si l'auditeur veut
valider chaque exigence en détail. C'est pourquoi l'auditeur doit utiliser son temps à bon escient en
n'évaluant que les aspects les plus importants, tels que les processus clés, les systèmes critiques,
l'analyse des risques, etc.

120/164
ISO 19011, article 5.5.2 Définition des objectifs, du champ et des critères pour chaque audit individuel
Il convient de fonder chaque audit individuel sur des objectifs, un champ et des critères d’audit définis. Il convient
que ceux-ci soient cohérents avec les objectifs globaux du programme d’audit.
Les objectifs d’audit définissent ce qui est attendu de l’audit individuel et peuvent comprendre ce qui suit:
a. la détermination du degré de conformité de tout ou partie du système de management à auditer aux critères
d’audit;
b. l’évaluation de l’aptitude du système de management à aider l’organisme à satisfaire aux exigences légales
et réglementaires pertinentes et aux autres exigences que l’organisme s’est engagé à satisfaire;
c. l’évaluation de l’efficacité du système de management à fournir les résultats escomptés;
d. l’identification des opportunités d’amélioration du système de management;
e. l’évaluation de la pertinence et de l’adéquation du système de management par rapport au contexte et à
l’orientation stratégique de l’audité;
f. l’évaluation de la capacité du système de management à établir et atteindre des objectifs et à faire face
efficacement aux risques et opportunités, dans un contexte en évolution, y compris la mise en œuvre des
actions associées.

121/164
Le périmètre d'audit ne doit pas être confondu avec le périmètre du système de management Le périmètre
d'audit devrait être cohérent avec le programme et les objectifs d’audit. Il n'inclut pas nécessairement tous les
processus, produits, lieux, départements ou divisions de l'organisme qui sont couverts par le système de
management.
Exemple: Pour l'audit de l'ensemble des activités d'une banque qui comprend un siège social, 4 centres de
traitement, 20 bureaux régionaux et 1 500 succursales, le périmètre d'audit pourrait couvrir que le siège social, 1
centre de traitement des données, 5 bureaux régionaux et 25 succursales.
ISO 19011, article 3.5 champ de l’audit
étendue et limites d’un audit
Note1 à l’article: Le champ de l’audit décrit généralement les lieux physiques et virtuels, les fonctions, les unités
organisationnelles, les activités et les processus ainsi que la période de temps couverte.
Note2 à l’article: Un lieu virtuel est un lieu où un organisme réalise un travail ou fournit un service en utilisant un
environnement en ligne permettant à des personnes d’exécuter les processus quel que soit le lieu physique.
ISO/IEC17021-1, article9.2.1.1
Les objectifs de l’audit doivent être déterminés par l’organisme de certification. Le périmètre de l’audit et ses
critères, y compris toutes modifications, doivent être établis par l’organisme de certification après discussion avec
le client.
ISO/IEC17021-1, article9.4.3.3
Le responsable de l’équipe d’audit doit revoir avec le client toute nécessité de modification du périmètre de l’audit
qui se dégage au fur et à mesure de l’avancée des activités d’audit sur site et en rendre compte à l’organisme de
certification.

122/164
ISO/IEC 17021-1, article9.1.5 Échantillonnage multisite
Lorsqu’il est nécessaire de procéder à un échantillonnage multisite pour auditer le système demanagement d’un
client couvrant la même activité en plusieurs emplacements géographiques, l’organisme de certification doit
élaborer un programme d’échantillonnage afin de garantir une évaluation correcte du système de management.
Les Les fondements du plan d’échantillonnage doivent être documentés pour chaque client. Pour certains
programmes de certification spécifiques, l’échantillonnage n’est pas autorisé, et quand des critères spécifiques
ont été déterminés pour un programme de certification donné, par exemple dans l’ISO/TS 22003, ces critères
doivent s’appliquer.
NOTE Dans le cas de plusieurs sites [ne couvrant] pas la même activité, un échantillonnage n’est pas approprié.

123/164
Il pourrait y avoir plusieurs raisons acceptables pour modifier le périmètre d'audit. Les raisons comprennent,
mais ne sont pas limitées à :
Périmètre du SMSI mal défini au début du processus
Changements récents dans les processus ou les technologies en place
Acquisition d'une nouvelle division
Force majeure (p. ex., incendie)
Autres considérations logistiques

124/164
Les critères d'audit sont spécifiés par l'audité et doivent faire l'objet d'un accord entre les parties impliquées dans
l'audit (organisme de certification, audité et auditeur).
Les critères d'audit sont une partie essentielle de l'audit, puisque l'auditeur les utilise comme références
pour déterminer la conformité. Si une non-conformité est déclarée, elle est toujours basée sur un critère
d'audit spécifique.

125/164
La taille et les considérations économiques des petits organismes font que les processus de management
sophistiqués ne sont souvent ni nécessaires ni souhaitables.
Dans les petits organismes, le propriétaire ou le gestionnaire contrôle tous les processus décisionnels et
intervient personnellement à tout moment. Dans de nombreux cas, il n’est pas entièrement conscient de ses
propres responsabilités ou de celles des auditeurs. En particulier, il peut ne pas se rendre compte que le
système de management est sous sa responsabilité.

126/164
Il est dans l'intérêt à la fois de l'audité et de l'équipe d'audit que l'organisme de certification signe le contrat de
certification avec l'audité, de préférence avant le début de l'audit, afin d'éviter tout malentendu.
Le contrat documente et confirme l'acceptation de l'audité, les dates d'audit, les objectifs d'audit, les critères
d'audit et le périmètre de l'audit.
ISO/IEC 17021-1, article 5.1.2Contrat de certification
L’organisme de certification doit disposer d’un contrat juridiquement exécutoire avec chaque client pour fournir
des activités de certification conformément aux exigences pertinentes de la présente partie de l’ISO/IEC 17021.
En outre, lorsque l’organisme de certification a plusieurs bureaux ou que le client certifié a plusieurs sites,
l’organisme de certification doit assurer qu’il existe une relation contractuelle juridiquement exécutoire entre
l’organisme de certification octroyant la certification et le client, couvrant tous les sites concernés par le périmètre
de la certification.
NOTE Une relation contractuelle peut être obtenue au moyen de plusieurs contrats qui font référence les uns aux
autres ou qui sont liés de toute autre manière.

127/164
Au besoin, les éléments suivants peuvent également être inclus :
L'accord portant sur la participation d'autres auditeurs (par exemple, en formation) et d'experts
Le cas échéant, la référence à tout autre accord
Toute autre disposition jugée nécessaire

128/164
129/164
ISO 19011, article 6.2.2 Prise de contact avec l’audité
Il convient que le responsable de l’équipe d’audit s’assure qu’un contact est pris avec l’audité pour:
a. confirmer les circuits de communication avec les représentants de l’audité;
b. confirmer la légitimité de la réalisation de l’audit;
c. fournir des informations pertinentes sur les objectifs, le champ, les critères et les méthodes de l’audit, ainsi
que sur la composition de l’équipe d’audit, y compris les experts techniques éventuels;
d. demander l’accès aux informations pertinentes pour les besoins de la planification, y compris les
informations sur les risques et opportunités identifiés par l’organisme et sur la manière dont ils sont traités;
e. déterminer les exigences légales et réglementaires et autres exigences applicables, liées aux activités,
processus, produits et services de l’audité;
f. confirmer l’accord obtenu de l’audité concernant l’étendue de la diffusion et le traitement des informations
confidentielles;
g. prendre des dispositions pour l’audit, y compris le calendrier;
h. déterminer les exigences éventuelles d’accès spécifique au site, de santé et de sécurité, de sûreté, de
confidentialité ou autres exigences spéciales;
i. se mettre d’accord sur la présence d’observateurs et la nécessité de guides ou d’interprètes pour l’équipe
d’audit;
j. déterminer les domaines d’intérêt, les préoccupations ou les risques pour l’audité en rapport avec l’audit
spécifique;
k. résoudre les problèmes concernant la composition de l’équipe d’audit avec l’audité ou le client de l’audit.

130/164
131/164
1. Quelles sont les parties concernées par une offre d'audit ?
A. Auditeur et audité
B. Organisme de certification et audité
C. Organisme de certification et auditeur
2. Combien de responsables d'équipe d'audit faut-il nommer pour un audit conjoint ?
A. Un responsable d'équipe d'audit
B. Deux responsables d'équipe d'audit
C. La décision appartient à l'organisme de certification
3. Qu'est-ce qui peut déclencher la modification du périmètre d'audit ?
A. Changements récents dans les processus en place
B. Revue des incidents majeurs de sécurité de l'information
C. Modifications à la politique de sécurité de l'information
4. Les auditeurs utilisent la/les _______________ comme référence pour déterminer la conformité.
A. Faisabilité de l'audit
B. Critères d’audit
C. Objectifs d’audit
5. Le contrat de certification formalise l'acceptation de la mission d'audit par l'auditeur.
A. Vrai
B. Faux
6. Quel est l'objectif d'un premier contact avec l'audité ?
A. Déterminer les objectifs de l'audit
B. Discuter du calendrier de l'audit
C. Établir les objectifs de communication

132/164
133/164
Les objectifs et les phases de l'étape 1 de l'audit sont examinés en détail dans cette section. En outre, la section
comprend des informations sur la manière de préparer et de mener les activités sur site, ainsi que sur la revue
de l’information documentée et de ses types.

134/164
Durant l’étape1 de l’audit, l’auditeur ne cherche pas à vérifier l’efficacité du système de management en
place, mais plutôt sa conception. Lors de l’étape2 (audit sur site), l’auditeur mesurera l’efficacité du système
de management afin de valider si les processus documentés existent, sont efficaces et conformes aux exigences
de la norme.
ISO/IEC 17021-1, article 9.3.1.2.2
L’étape 1 a pour objectifs:
a. de revoir les informations documentées du système de management du client;
b. d’évaluer les conditions spécifiques au site du client et créer l’occasion d’un échange d’informations avec le
personnel du client afin de déterminer le niveau de préparation pour l’étape 2;
c. de procéder à une revue de l’état de l’organisme client et de sa compréhension des exigences de la norme,
notamment en ce qui concerne l’identification des performances clés ou des aspects, des processus, des
objectifs et du fonctionnement significatifs du système de management;
d. d’obtenir les informations nécessaires concernant le périmètre du système de management, y compris:
le ou les sites du client;
les processus et l’équipement utilisés;
les niveaux de maîtrises établis (en particulier dans le cas de clients multisites);
les exigences légales et réglementaires applicables;
e. procéder à une revue de l’affectation des ressources pour l’étape 2 et convenir avec le client des détails de
l’étape 2;
f. de permettre la planification de l’étape 2, une fois acquise une compréhension suffisante du système de
management du client et du fonctionnement du site dans le contexte de la norme de système de
management ou d’un autre document normatif;
g. de déterminer si les audits internes et les revues de direction ont été planifiés et réalisés et si le niveau de
mise en œuvre du système de management atteste que l’organisme client indique qu’il est prêt pour l’étape
2.
NOTE Si au moins une partie de l’étape 1 est réalisée dans les locaux du client, cela peut aider à atteindre les
objectifs fixés ci-dessus.

135/164
Afin de ne pas compromettre l'efficacité de l'audit, l'étape 1 peut parfois être menée en combinaison avec l'étape
2 (ou réalisée à distance). C’est souvent le cas quand les membres de l’équipe doivent se déplacer sur de
longues distances pour réaliser l’audit.
Il est à noter que, même si un accord de confidentialité est signé, un audité est en droit d’exiger que la
consultation des documents se déroule sur site et qu’aucun document ne soit transporté à l’extérieur.
ISO/IEC 17021-1, article 9.3.1.2.1
La planification doit assurer que les objectifs de l’étape 1 peuvent être remplis et le client doit être informé des
activités « sur site » réalisées lors de l’étape 1.
NOTE L’étape 1 ne nécessite pas de plan d’audit formel.
ISO/IEC 17021-1, article 9.3.1.2.3
Les conclusions documentées concernant la réalisation des objectifs de l’étape 1 et le niveau de réparation pour
l’étape 2 doivent être communiquées au client, y compris l’identification de tout problème susceptible d’être classé
comme une non-conformité au cours de l’étape 2.
NOTE Il n’est pas nécessaire que les données de sortie de l’étape 1 remplissent toutes les exigences
d’unrapport.
ISO/IEC 17021-1, article 9.3.1.2.4
Pour déterminer l’intervalle entre l’étape 1 et l’étape 2, il faut prendre en considération ce dont le client aura
besoin pour résoudre les problèmes identifiés au cours de l’étape 1. L’organisme de certification peut également
avoir besoin de revoir ses dispositions pour l’étape 2. Si des modifications significatives susceptibles d’affecter le
système de management interviennent, l’organisme de certification doit envisager la nécessité de répéter tout ou
partie de l’étape 1. Le client doit être informé que les résultats de l’étape 1 peuvent entraîner le report ou
l’annulation de l’étape 2.

136/164
137/164
138/164
1. Évaluer le lieu et les conditions spécifiques du site de l'audit : L'auditeur doit connaître les lieux à
auditer afin de mieux évaluer les risques liés aux conditions spécifiques de l'audité. En outre, l'auditeur
devrait obtenir de l'information sur les règles de sécurité concernant l'hygiène, la santé et la sécurité au
travail, et observer l'utilisation des équipements de protection individuelle, le cas échéant.
2. Établir des contacts avec le personnel de l'audité : L'auditeur devrait établir un premier contact avec le
personnel de l'audité afin de s'assurer que les personnes concernées sont conscientes du périmètre et des
objectifs de l'audit. Outre la présentation de l'équipe d'audit, c'est une excellente occasion de valider le
niveau de préparation et de motivation du personnel. L'auditeur peut également observer et en apprendre
davantage sur les normes culturelles de l'audité.
3. Observer les technologies utilisées : L'auditeur devrait se familiariser avec les technologies utilisées par
l'audité afin de pouvoir mieux préparer les détails de l'audit, y compris les outils d'audit et les plans de test.
4. Observer, en général, les opérations du SMSI : L'auditeur devrait se familiariser avec les opérations du
système de management afin de mieux évaluer les risques liés au contexte spécifique de l'audité.
L'observation des opérations est utile pour préparer le plan d'audit et les plans de test.

139/164
Lors de l'étape 1 de l'audit, l'équipe d'audit mène des entretiens avec les principales parties intéressées.
L'objectif des entretiens n'est pas de recueillir des preuves d'audit pour valider la conformité du système
de management aux exigences normatives, mais d'assurer une compréhension adéquate des défis
auxquels l'audité est confronté (exigences légales, réglementaires et contractuelles, exigences des clients,
politiques internes, etc.) et de la manière dont le système de management y répond.
En général, l'équipe d'audit devra mener des entretiens avec au moins :
1. La ou les personnes responsables du SMSI : Les entretiens avec ces personnes aideront l'équipe
d'audit à mieux comprendre comment l'audité fonctionne avec le système de management en place.
2. Un représentant de la direction générale : Cet entretien aide l'équipe d'audit à valider l'engagement de
la direction et sa compréhension des exigences de la norme.
3. L'auditeur interne : Cet entretien aide l'équipe d'audit à valider si les audits internes sont effectués de
manière adéquate et régulière.
Il convient de noter que si l'étape 1 de l'audit se déroule sur plusieurs jours, l'équipe d'audit devra s'entretenir
avec d'autres personnes qui ont des responsabilités importantes dans le fonctionnement du SMSI, telles que le
responsable des RH, le responsable du centre de services, le responsable de la sécurité physique, etc.

140/164
L'examen de l'information documentée résultera en :
1. Une compréhension générale du fonctionnement du système de management : Pour comprendre
comment chaque processus audité est intégré dans les activités générales de l'audité, l'auditeur doit
d'abord avoir une compréhension des processus généraux de l'audité.
2. Une évaluation de la conception du système de management, ainsi que des processus et contrôles
associés : L'auditeur devrait s'assurer que les processus et les mesures ont été conçus de manière à
respecter les exigences de la norme.
3. Une vérification que des audits internes et des revues de direction ont été effectués : La réalisation
d'audits internes et les revues de direction sont des exigences importantes de la norme. En tant que tel,
l'auditeur doit vérifier si ces activités ont été effectuées de manière adéquate chez l'audité.
ISO 19011, Annexe A.5 Vérification des informations
Dans la mesure du possible, il convient que les auditeurs déterminent si les informations fournissent des preuves
objectives suffisantes pour démontrer que les exigences sont satisfaites, c’est-à-dire des informations:
a. complètes (l’ensemble du contenu prévu est fourni dans les informations documentées);
b. correctes (le contenu est conforme à d’autres sources fiables, telles que normes et réglementations);
c. cohérentes (les informations documentées sont cohérentes en elles-mêmes et par rapport aux documents
associés);
d. actualisées (le contenu est mis à jour).
ISO/IEC 27007, article 6.4.6.2
Il convient que les auditeurs du SMSI vérifient que l'information documentée requise par les critères d'audit et
pertinente pour le périmètre d’audit existe et est conforme aux exigences des critères d'audit.
Il convient que les auditeurs du SMSI confirment que les mesures déterminées dans le cadre de l'audit sont liées
aux résultats du processus d'appréciation et de traitement des risques, et peuvent ensuite être rattachées à la
politique et aux objectifs en matière de sécurité de l'information.

141/164
L'auditeur doit valider l'information documentée sur la base des trois critères suivants :
1. Contenu de l'information documentée : L'auditeur doit s'assurer que chaque document contient
l’information requise par l'article correspondant de la norme. Toutefois, l'information documentée peut ne
contenir que le minimum requis d'information, et non pas tout ce que la norme spécifie. Les critères pour
l'auditeur ne sont pas les meilleures pratiques de l'industrie, mais les exigences minimales spécifiées dans
la norme.
2. Format de l'information documentée : L'auditeur doit s'assurer que chaque information documentée est
conforme et normalisée en termes de format : identification de l'auteur, date de production, numéro de
version, date d'approbation, etc.
3. Procédure de gestion de l'information documentée : L'auditeur doit s'assurer qu'il existe une procédure
pour gérer l’information documentée conformément aux exigences de la norme.

142/164
Il est essentiel que l'auditeur adopte une approche systématique et structurée pour sélectionner
l’information documentée à analyser.
L'auditeur procédera à l'examen des informations documentées dans l'ordre suivant :
1. Documentation stratégique (déclaration du périmètre, objectifs et politiques, plan directeur, etc.)
2. Documentation relative à la gestion des risques
3. Documentation des processus et procédures
4. Documentation des procédures d'appui (p. ex. feuilles de travail, formulaires)
5. Vérification des enregistrements
Il est à noter que l'information documentée peut être affichée sous différents formats (texte suivi, diagrammes,
bases de données, présentations Microsoft PowerPoint, feuilles de calcul Microsoft Excel, etc.) et que le
vocabulaire utilisé peut varier considérablement d'un organisme à l'autre.
Des désaccords peuvent survenir entre un auditeur et un audité sur le caractère obligatoire de certaines
procédures documentées ou sur leur nature, en particulier lorsque l'audité ne soumet que le strict minimum pour
les procédures documentaires spécifiques requises par la norme. Ainsi, des points de vue différents entre
l'auditeur et l'audité peuvent donner lieu à des interprétations différentes des exigences normatives.

143/164
L'auditeur doit s'assurer qu'une exigence de la norme exprimée par la forme verbale «doit» est
considérée comme obligatoire dans la documentation du système de management audité. Par exemple,
lorsque la norme stipule que l'organisme DOIT mettre en œuvre des actions correctives pour éliminer la cause
fondamentale des non-conformités, mais que l'audité utilise l'expression verbale DEVRAIT, la procédure
documentée est automatiquement considérée comme inexacte.
D'autre part, si une mesure de sécurité qui n'est pas une exigence de la norme est documentée comme «doit»,
l'auditeur doit considérer cette mesure comme une exigence du système de management. Une telle obligation
pourrait découler d'une exigence légale ou contractuelle. Par exemple, si une procédure de l'organisme stipule
que toutes les sauvegardes doivent être vérifiées chaque matin à 10 heures et que l'auditeur constate que cela
n'est pas fait, une non-conformité sera émise. Si la même procédure est documentée comme «devrait»,
l'auditeur ne la signalera pas comme une non-conformité, car elle constitue une ligne directrice et non une
exigence.
Dans plusieurs normes ISO, quatre formes verbales différentes sont utilisées :
1. Exigence: Les termes «doit » (shall) et « ne doit pas»(shall not) indiquent des exigences qui doivent être
strictement respectées afin de se conformer à la norme et pour lesquelles aucune déviation n’est
autorisée.
2. Recommandation: Les termes «il convient de » ou «devrait» (should) et «il convient de ne pas» ou «ne
devrait pas» (should not) indiquent que, parmi plusieurs possibilités, l’une est recommandée comme
particulièrement appropriée, sans mentionner ou exclure les autres ou qu’une certaine ligne de conduite
est préférable, mais pas nécessairement requise, ou que (dans la forme négative) une certaine possibilité
ou ligne de conduite est dépréciée mais pas interdite.
3. Autorisation : Les termes «peut» (may) et «peut ne pas être» (may not) indiquent une ligne de conduite
permise dans les limites du document.
4. Possibilité : Les termes «peut» (can) et «ne peut pas» (cannot) font référence à la capacité d'un utilisateur
du document ou à une possibilité qui lui est offerte.

144/164
L'auditeur doit s'assurer que tous les documents indiqués dans les articles 4 à 10 (ISO/IEC 27001) sont présents
et conformes aux exigences de la norme. L'absence de l'un de ces éléments doit être documentée comme une
non-conformité majeure.
Les documents de base relatifs au SMSI sont les suivants :
Périmètre du SMSI : L'auditeur doit valider que le périmètre du SMSI est viable et clairement défini et que
l'organisme a pris en compte les interfaces du SMSI avec les autres systèmes et processus internes de
l'organisme ou d'autres parties intéressées.
Politique et objectifs de sécurité de l’information : L'auditeur doit valider que la politique de sécurité de
l'information inclut les exigences de l'article 5.2 qui stipule qu'elles doivent être approuvées par la direction,
publiées et distribuées à toutes les parties intéressées. En outre, l'organisme doit avoir documenté les objectifs
de mesure qu'il souhaite atteindre grâce à la mise en œuvre du SMSI.
Déclaration d’applicabilité : L'auditeur doit valider que l'organisme a spécifié toutes les mesures de sécurité
incluses dans le SMSI, qu'il a indiqué la source de chaque mesure de sécurité et que les raisons de la sélection
(ou de l'exclusion) de chacune des 93 mesures de l'Annexe A ont été documentées.
Description de l'approche d'appréciation des risques et méthodologie : L'auditeur doit s'assurer que
l'approche d'appréciation des risques et la méthodologie choisie sont documentées. L'auditeur doit également
valider que l'approche intègre toutes les exigences minimales décrites dans l'article 6.1.2 de la norme ISO/IEC
27001, y compris la définition des critères d'acceptation des risques et l'identification des niveaux de risque
acceptables. L'auditeur devrait s'assurer que ces appréciations des risques produisent des résultats comparables
et reproductibles.
Relation entre l'appréciation des risques et le plan de traitement des risques : L'auditeur devrait d'abord
s'assurer que l'organisme a suivi l'approche proposée par la méthodologie d'appréciation des risques choisie.
Ensuite, il devrait s'assurer que le plan de traitement des risques est aligné sur les conclusions du rapport
d'appréciation des risques.

145/164
Description des mesures de sécurité : L'auditeur devrait prendre note et valider la documentation des mesures
et des procédures de sécurité requises dans les articles 4 à 10, ainsi que toutes les autres mesures de sécurité
qui sont déclarées par l'audité.
Les documents exigés explicitement par ISO/IEC27001 sont:
1. Résultats de surveillance et de mesure (9.1)
2. Enregistrements des formations, compétences, expérience et qualifications (7.2)
3. Résultats des audits internes (9.2)
4. Résultats de la revue de direction (9.3)
5. Résultats des actions correctives (10.1)
6. Journalisation (Annexe A8.15)
La documentation suivante aide à démontrer la conformité aux exigences d'ISO/IEC 27001 :
1. Tableau de bord ou autre documentation qui montre l’efficacité des processus et des mesures de sécurité
du SMSI mis en œuvre
2. Plan de communication pour communiquer avec les parties intéressées
3. Documentation des rôles et responsabilités liés au SMSI
4. Budget d’opération du SMSI
5. Preuve de compétence
6. Politique et procédure d'amélioration continue

146/164
L'auditeur doit valider que l’information documentée comprend des enregistrements qui démontrent
l'engagement de la direction de l'audité envers l'établissement, la mise en œuvre, le fonctionnement, le suivi et la
révision, la mise à jour et l'amélioration continue du système de management.

147/164
La documentation des principaux processus et procédures peut être préparée sous différents formats :
Diagrammes Visio, description de l'environnement de contrôle en texte suivi, feuilles de calcul Microsoft Excel,
etc. Il n'y a pas de prescription obligatoire sur la manière dont les processus et les procédures sont documentés.

148/164
L'auditeur doit vérifier si l’information documentée relative aux audits internes démontre que l'audité a mis en
œuvre un programme d'audit planifié et structuré qui répond aux exigences d'ISO/IEC 27001, article 9.2.
L'auditeur validera les informations documentées suivantes :
1. Charte d'audit ou autres documents précisant les rôles et responsabilités des auditeurs internes :
L'auditeur devrait s'assurer que les auditeurs internes sont indépendants par rapport aux processus
audités et que leurs rôles et responsabilités sont clairement définis.
2. Dossiers des auditeurs internes : L'auditeur devrait exiger l'accès aux dossiers des auditeurs internes
(CV, plan de formation, évaluations annuelles, etc.) afin de s'assurer qu'ils ont les compétences requises
pour accomplir leur mission.
3. Plan de l'audit interne : L'auditeur devrait valider que le plan d'audit couvre toutes les activités du SMSI
et que les audits internes sont prévus pour la durée de la certification, c'est-à-dire trois ans.
4. Procédure d’audit interne : L'auditeur devrait valider que la procédure permet à l'équipe d'audit de
réaliser des audits internes de manière structurée et méthodique.
5. Rapport d'audit interne : Pour valider la conformité à l'article 9.2, l'auditeur doit au moins lire un rapport
d'audit interne. Au moment de l'audit de certification, l'équipe d'audit interne doit avoir effectué au moins un
audit interne.
6. Documentation des activités de suivi d'audit : Les auditeurs internes devraient effectuer les suivis et
documenter leurs actions après la présentation des rapports d'audit interne et externe

149/164
Au cours de l'étape 1 de l'audit, l'auditeur doit déterminer dans quelle mesure l'audité utilise l’information
documentée électronique, et l'auditeur et l'audité doivent s'entendre sur la manière dont l'auditeur accédera et
utilisera le système de gestion électronique de documents. Il convient donc de tenir compte des éléments
suivants :
Donner à l'auditeur la possibilité de se familiariser avec le système de gestion électronique de documents
Lire les politiques de l'audité concernant l'utilisation de son système de gestion électronique de documents
et de son infrastructure informatique
Donner des instructions appropriées pour accéder aux informations documentées requises, aux
habilitations de sécurité et aux autres documents pertinents de l'audité
Donner des informations détaillées sur les mesures de protection et les procédures pour s'assurer que les
auditeurs protègent la confidentialité des informations documentées de l'audité, pendant et après l'audit
Les auditeurs devraient être compétents pour utiliser l'infrastructure informatique et les tendances de
développement. Pour que l'audit soit plus efficace, les auditeurs et les organismes d'audit doivent avoir une
compréhension pratique minimale des tendances générales du développement technologique.
En général, les auditeurs devraient accorder une attention particulière à l'évolution technologique dans leur
domaine respectif et à la manière dont ces innovations peuvent être utilisées dans leur travail, notamment dans
le cadre d'un système de gestion électronique de documents.

150/164
Activités sur site :
L'approche d'audit pour l'information documentée électronique sera principalement déterminée par la quantité de
preuves nécessaires pour démontrer la conformité aux exigences d'ISO/IEC 27001. Lors de l'audit sur site, la
responsabilité de l'auditeur sera de superviser l'emplacement physique du processus audité. Dans les cas où un
système de management des documents est appliqué, le temps nécessaire pour confirmer les preuves afin de
valider que les exigences sont respectées peut être consacré à un poste de travail informatique où les
documents sont stockés et qui peut ne pas être situé à proximité du processus actuel. Dans de tels cas, le temps
réel d'audit sur le lieu physique du processus peut être réduit. Un autre facteur à prendre en compte lorsque le
poste de travail informatique associé n'est pas situé à proximité du processus physique est le temps nécessaire
pour se déplacer.
Contrôle de l'information documentée électronique :
L’information documentée électronique qui établit le contrôle opérationnel du système de management peut se
présenter sous différents formats de fichiers, principalement en fonction des applications logicielles que l'audité
utilise pour créer l'information. Les formats de fichiers électroniques comprennent, sans s'y limiter : texte, HTML,
PDF, etc. Les bases de données et les feuilles de calcul (spreadsheet) sont également considérées comme des
informations documentées électroniques soumises à l'audit.
Les audités doivent appliquer des mesures appropriées et des méthodes efficaces pour la bonne gestion du
cycle de vie de l'information documentée électronique afin de garantir la revue, l'approbation, la publication, la
distribution et l'élimination adéquates de leur système de management des documents.
Compte tenu de la facilité avec laquelle il est possible de modifier, mettre à jour et reformater des informations
documentées dans un système de gestion électronique de documents, les auditeurs devraient porter une
attention particulière aux éléments de contrôle, tels que le niveau d'identification et de révision ainsi que les
mesures qui sont employées pour la gestion des informations périmées.

151/164
Enfin, lors de l'évaluation des mesures de l'audité concernant la conservation et le stockage de l'information
documentée électronique, l'auditeur devrait valider si l'audité a une bonne compréhension de sa capacité de
stockage, car les facteurs ci-dessous peuvent affecter le fonctionnement du système de gestion électronique de
documents :
Le taux de génération d'informations électroniques
Les délais de conservation
Le taux d’élimination des documents
Audit des ressources consacrées au système de gestion électronique de documents :
Comme les organisations se tournent constamment vers l'utilisation de systèmes de gestion électronique des
documents, le rôle des technologies de l'information devient essentiel. L'auditeur devrait vérifier si l'organisme a
alloué les ressources informatiques nécessaires, tant humaines qu'infrastructurelles, pour s'assurer que les
systèmes fonctionnent efficacement et sans interruption. La vérification de l'allocation des ressources
appropriées devrait inclure une évaluation de la manière dont l'organisme traite la compétence requise des
personnes pour opérer le matériel informatique (hardware) et les logiciels et pour faire fonctionner le système de
gestion électronique de documents.
L'auditeur devrait vérifier si l'audité a défini et facilité de manière appropriée le niveau d'interaction, de soutien et
d'implication du personnel TI dans l'établissement, la mise en œuvre et la maintenance du système de gestion
électronique de documents.

152/164
Le rapport d'audit de l'étape 1 doit être concis. L'auditeur doit au moins documenter les observations qui
pourraient entraîner des non-conformités lors de l'audit sur site.
Dans les cas où des non-conformités majeures sont détectées au cours de l'audit documentaire, l'audité devrait
apporter les modifications nécessaires à la documentation du système de management et soumettre la
documentation corrigée à l'équipe d'audit avant de procéder à l'étape 2 de l'audit.

153/164
1. Quel est l'objectif principal de l’étape 1 de l'audit ?
A. Déterminer si des audits internes et des revues de direction sont effectués
B. Évaluer si le SMSI est mis en œuvre de façon efficace
C. Évaluer si les processus de l'organisme sont conformes aux exigences de la norme
2. L’étape 1 de l'audit ne devrait pas être trop éloignée de l’étape 2.
A. Vrai
B. Faux
3. Quelle est la première phase de l’étape 1 de l'audit ?
A. Réaliser les activités sur site
B. Documenter les résultats de l'étape 1 de l’audit
C. Préparer les activités sur site
4. Laquelle des activités suivantes de l’étape 1 de l'audit n'a PAS lieu pendant la visite sur site de
l'auditeur?
A. Observer les technologies utilisées et les opération globales du SMSI
B. Examiner la politique de sécurité de l'information et autres informations documentées
C. Valider la conformité du système de management avec les exigences contractuelles et
réglementaires
5. Pourquoi l'auditeur devrait-il interroger la personne responsable du SMSI dans un organisme ?
A. Pour valider l'engagement de la direction générale dans l’organisme
B. Pour fournir des informations concernant les audits internes de l'organisme
C. Pour comprendre comment fonctionne l'organisme avec le système de management mis en place

154/164
6.Le périmètre du système de management et la responsabilité de la direction générale de l'audité
doivent être validés :
A. Étape1 de l’audit
B. Étape2 de l’audit
C. Après l’audit
7.Quelle information documentée doit être examinée en premier lieu par l'auditeur ?
A. Documentation stratégique (déclaration du périmètre, objectifs et politiques, plan directeur, etc.)
B. Documentation relative à la gestion des risques
C. Documentation des procédures d'appui (p. ex. feuilles de travail, formulaires)
8.Un auditeur doit avoir une connaissance appropriée et une expérience pratique de l'utilisation des
médias électroniques
A. Vrai
B. Faux

155/164
156/164
Finanvo est une institution financière qui fournit des transactions financières et monétaires, telles que des prêts,
des investissements et des dépôts. Récemment, elle a connu une forte augmentation du nombre de clients en
peu de temps, ce qui a entraîné de fréquentes interruptions de service du réseau. Ainsi, la direction de Finanvo a
commencé à explorer de nouvelles solutions qui pourraient aider à réduire le nombre d'interruptions de service et
à maintenir la qualité des services. Finanvo a décidé de mettre en œuvre un système de management de la
sécurité de l'information basé sur ISO/IEC 27001. Au terme de la première année de fonctionnement du SMSI,
elle a demandé la certification. Elle a choisi AuditOrg, un organisme de certification bien connu, pour mener
l'audit. L'équipe d'audit était composée de cinq auditeurs, dont deux avaient travaillé pour l'un des plus grands
concurrents de Finanvo. Cela signifie qu'ils avaient une expérience adéquate dans l'audit des institutions
financières. Conformément aux bonnes pratiques d'audit, AuditOrg a commencé l'audit en recueillant des
informations concernant le périmètre du système de management et la compréhension par Finanvo des
exigences de la norme. Dans le cadre de leurs activités d'audit, les auditeurs ont procédé à une revue générale
de l'information documentée de la société, y compris les enregistrements des sessions de formation. Les
dossiers de formation de certains employés étant manquants, l'équipe d'audit les a interrogés pour vérifier leur
participation. Les auditeurs ont utilisé les informations recueillies lors des entretiens comme échantillon pour
mesurer la compréhension des employés en matière de sécurité de l'information. Après avoir obtenu les
informations nécessaires, les auditeurs ont calculé le nombre d'heures de formation et ont analysé les preuves
recueillies. Les constatations ont aidé les auditeurs à étayer leurs conclusions et à rendre compte de toutes les
activités d'audit de manière sincère et précise. Les auditeurs ont conclu ne pas avoir détecté de non-conformité
majeure dans le système de management de la sécurité de l'information de Finanvo.
Répondez aux questions suivantes en vous référant au scénario ci-dessus :
1. Quel type d'audit est effectué par AuditOrg ?
A. Audit de seconde partie
B. Audit de tierce partie
C. Audit interne

157/164
2.Selon le scénario, Finanvo peut-elle demander le remplacement des membres de l'équipe d'audit ?
A. Oui, deux des auditeurs d'AuditOrg ont travaillé pour l'un des principaux concurrents de Finanvo, ce qui
constitue une raison valable pour demander le remplacement des membres de l'équipe d'audit
B. Non, Finanvo n'a pas de raison valable de demander le remplacement des membres de l'équipe d'audit,
car les auditeurs ont une expérience adéquate en matière d'audit
C. Non, Finanvo ne peut demander le remplacement d'un membre de l'équipe d'audit pour quelque raison
que ce soit
3.Les membres de l'équipe d'audit d'AuditOrg ont recueilli tous les types de preuve ci-dessous, à
l'exception d’une ____________.
A. Preuve confirmative
B. Preuve mathématique
C. Preuve analytique
4.Quel principe d'audit a été appliqué par AuditOrg dans le cas suivant : «Les constatations ont aidé les
auditeurs à étayer leurs conclusions et à rendre compte de toutes les activités d'audit de manière sincère
et précise» ?
A. Indépendance
B. Restitution impartiale
C. Confidentialité
5.Comment évalueriez-vous le niveau de responsabilité démontré par les auditeurs d'AuditOrg ?
A. Négligence ordinaire, puisque les auditeurs ont fait preuve d'un manque de diligence lors de l'audit
B. Négligence grave, puisque les auditeurs ont fait preuve d'un manque total de diligence lors de l'audit
C. Absence de négligence, puisque les auditeurs ont fait preuve de diligence raisonnable au cours de l'audit

158/164
159/164
160/164
161/164
Devoir 4 : Preuves dans un audit
Fournissez au moins deux preuves qui seraient suffisantes pour vérifier la conformité de l'organisme aux articles
suivants de la norme ISO/IEC 27001. En outre, indiquez le type de preuve utilisé.
1. Article 6.1 3 Traitement des risques de sécurité de l’information
2. Annexe A.8.4 Accès au code source
3. Annexe A.7.10 Supports de stockage
4. Annexe A.8.26 Exigences de sécurité des applications
5. Annexe A.8.32 Gestion des changements
Devoir 5 : Revue de l’information documentée
Examinez certaines des informations documentées de BankIT relatives au SMSI et déterminez si elles répondent
aux exigences minimales de la norme ISO/IEC 27001. Fournissez les mesures appropriées pour les informations
documentées qui ne sont pas conformes aux exigences de la norme.
1. La politique de sécurité de l’information
2. La définition du périmètre et des objectifs du SMSI
3. La Déclaration d'applicabilité (extraits)
4. La matrice des rôles et responsabilités
5. Le processus de gestion des incidents liés au SMSI (avec le formulaire de déclaration d'incident)

162/164
163/164
164/164

ISO 27001 Lead Auditor FR v.12.0 - Day 2 (2) - 1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ISO 27001 Lead Auditor FR v.12.0 - Day 2 (2) - 1

Transféré par

Droits d'auteur :

Formats disponibles

© Professional Evaluation and Certification Board, 2022. Tous droits réservés.

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)

Licensed to Abderrahman LAMNAH (abderrahman.lamnah@gmail.com)