LA27001 FR Day3

© PECB, 2020. Tous droits réservés.
Version11.0
Numéro de document: ISMSLAD3V11.0
Les documents fournis aux participants sont strictement réservés à des fins de formation. Aucune partie de ces
documents ne peut être publiée, distribuée, affichée sur Internet ou sur un intranet, extraite ou reproduite sous
quelque forme ou par quelque moyen que ce soit, électronique ou mécanique, y compris par photocopie, sans
l'autorisation écrite préalable de PECB.
Licensed to CYBERBST Conseil & Formation SARL ()

©Copyrighted material PECB®. Single user license only, copying and networking prohibited. Downloaded: 2021-12-20
1/122
2/122
3/122
Cette section traite des préparatifs de l'étape 2 de l'audit, y compris les étapes de planification de l'audit,
l'attribution du travail à l'équipe d'audit, et la préparation des plans de tests d'audit et des informations
documentées.

4/122
5/122
ISO/IEC 17021-1, article9.3.1.3 Étape2
L’objet de l’étape2 est d’évaluer la mise en œuvre et l’efficacité du système de management du client. L’étape2
doit se dérouler sur le ou les sites du client. Elle doit comprendre au minimum l’audit des éléments suivants:
a. les informations et les preuves relatives à la conformité à toutes les exigences de la norme relative au
système de management ou d’autres documents normatifs applicables;
b. la surveillance, le mesurage, le compte rendu et la revue des performances par rapport aux objectifs de
performance clé et aux cibles (en cohérence avec les attentes de la norme de système de management ou
de tout autre document normatif applicable);
c. l’aptitude du système de management du client et ses performances concernant la satisfaction des
exigences légales, réglementaires et contractuelles applicables;
d. la maîtrise opérationnelle des processus du client;
e. les audits internes et la revue de direction;
f. les responsabilités de la direction vis-à-vis des politiques de l’organisme client.

6/122
ISO 19011, article 6.3.2.2 Détails de la planification de l’audit (suite)
Il convient que la planification de l’audit traite ou fasse référence aux éléments suivants:
a. les objectifs de l’audit;
b. le champ de l’audit, y compris l’identification de l’organisme et de ses fonctions, ainsi que des processus à
auditer;
c. les critères d’audit et toutes les informations documentées de référence;
d. les lieux (physiques et virtuels) et les dates, ainsi que l’horaire et la durée prévus des activités d’audit à
mener, y compris les réunions avec la direction de l’audité;
e. la nécessité pour l’équipe d’audit de se familiariser avec les installations et les processus de l’audité (par
exemple en effectuant une visite du ou des sites physiques ou en passant en revue les technologies de
l’information et de la communication);
f. les méthodes d’audit à utiliser, y compris la mesure dans laquelle l’échantillonnage d’audit est nécessaire
pour obtenir des preuves d’audit suffisantes;
g. les rôles et responsabilités des membres de l’équipe d’audit ainsi que des guides et des observateurs ou
des interprètes;
h. l’affectation des ressources appropriées, compte tenu des risques et opportunités liés aux activités à
auditer.
Le plan d'audit devrait être examiné et confirmé par l'organisme de certification et l'audité avant le début
de l'étape 2 de l'audit. Toute objection de l'audité doit être résolue entre lui et le responsable de l'équipe d'audit.
Tout plan d'audit révisé devrait être convenu entre le client et le responsable de l’équipe avant de reprendre
l'audit. Il est particulièrement important de s'assurer de la disponibilité des personnes que l'auditeur souhaite
interroger au cours de l'étape 2 de l'audit.
ISO/IEC 17021-1, article 9.2.3.4 Communication du plan d’audit
Le plan d’audit doit être communiqué et les dates de l’audit doivent être convenues à l’avance avec le client.

7/122
ISO/EC 17021-1, article 9.2.3.2 Préparation du plan d’audit
Le plan d’audit doit être adapté aux objectifs et au périmètre de l’audit. Le plan d’audit doit au moins inclure ou
faire référence à ce qui suit:
a. les objectifs de l’audit;
b. les critères d’audit;
c. le périmètre de l’audit, y compris l’identification des unités organisationnelles et fonctionnelles ou des
processus à auditer;
d. les dates des audits et les sites sur lesquels les activités d’audit sur site seront menées, y compris les
visites sur les sites temporaires et les activités d’audit à distance, le cas échéant;
e. la durée escomptée des activités d’audit sur site;
f. les rôles et responsabilités des membres de l’équipe d’audit ainsi que des guides et des observateurs ou
des interprètes;
NOTE Les informations du plan d’audit peuvent figurer sur plusieurs documents.

8/122
Voici une brève description des étapes de planification de l'audit :
1. Découvrir la mission, les objectifs et les processus de l'audité : Lors de la planification d'un audit,
l'auditeur doit avoir connaissance de la mission, des objectifs et des processus de l'audité.
2. Définir les objectifs et le périmètre d'audit : L'auditeur devrait identifier les objectifs de l'audit et les
processus, fonctions ou départements de l'audité à inclure dans le périmètre d'audit.
3. Effectuer une appréciation des risques : L'auditeur devrait effectuer une appréciation des risques afin
de comprendre les risques auxquels l'audité est confronté.
4. Développer la stratégie d'audit : L'auditeur ne devrait élaborer la stratégie d'audit qu'après avoir recueilli
suffisamment d'information sur les processus de l'audité.

9/122
1. Conditions particulières de la mission d'audit : Objectifs, périmètre, critères, lieu, etc. de l'audit
2. Compétences requises de l'équipe d'audit : Expertise requise pour mener l'audit, capacité des
membres de l'équipe d'audit à communiquer avec l'audité (compréhension de la langue, connaissance des
caractéristiques sociales et culturelles particulières, etc.)
3. Considérations propres à chaque membre de l'équipe d'audit : Pas de conflits d'intérêts, disponibilité
de l'auditeur, expérience professionnelle, expertise spécifique, etc.
Une sélection négligente des membres de l'équipe d'audit peut avoir des effets négatifs sur l'efficacité et
l'efficience de l'audit.
ISO 19011, article 6.3.3 Répartition des tâches au sein de l’équipe d’audit
Il convient que le responsable de l’équipe d’audit, en concertation avec l’équipe d’audit, attribue à chaque membre
de l’équipe la responsabilité d’auditer des processus, activités, fonctions ou sites spécifiques et, le cas échéant,
l’autorité pour la prise de décision. Il convient que cette répartition des tâches tienne compte de l’impartialité, de
l’objectivité et de la compétence des auditeurs, de l’utilisation efficace des ressources, ainsi que des divers rôles
et responsabilités des auditeurs, des auditeurs en formation et des experts techniques.
Il convient que des réunions d’information de l’équipe d’audit soient organisées, le cas échéant, par le
responsable de l’équipe afin de procéder à la répartition des tâches et de décider des éventuelles modifications.
La répartition des tâches peut être modifiée à mesure que se déroule l’audit pour s’assurer de la réalisation des
objectifs de l’audit.

10/122
Le responsable de l'équipe d'audit devrait évaluer les compétences professionnelles de l'expert avant de le
sélectionner. Cela implique l'évaluation des éléments suivants chez l'expert :
1. Certification professionnelle ou appartenance à un organisme professionnel
2. Expérience professionnelle dans son domaine de compétence
3. Objectivité (Le risque que l'objectivité d'un expert soit compromise augmente s'il travaille pour l'audité, a
des liens avec lui ou reçoit des avantages financiers de sa part).
Si l'auditeur est sceptique quant aux compétences ou à l'objectivité de l'expert, il doit discuter de ses
préoccupations avec l'organisme de certification et chercher une solution.
Les constatations de l'audit ou les commentaires formulés par l'expert technique ne doivent être communiqués à
l'audité que par l'intermédiaire du responsable de l'équipe d'audit ou d'autres membres de l'équipe d'audit. Dans
les cas où les constatations ou les commentaires de l'expert nécessitent des éclaircissements supplémentaires,
l'auditeur peut permettre à l'expert technique de clarifier directement la question auprès de l'audité, toujours sous
la supervision de l'auditeur.
L'auditeur devra prendre des mesures supplémentaires ou se tourner vers un autre expert s'il n'est pas possible
de tirer des conclusions correctes des travaux de l'expert.

11/122
Les plans de tests d'audit seront expliqués en détail dans les sections suivantes. La connaissance des
techniques d'audit est une condition préalable pour comprendre les moyens de créer des plans de test d'audit
efficaces.

12/122
Les membres de l'équipe d'audit devraient préparer les documents de travail qui serviront d'enregistrement
d'audit. Ces documents de travail peuvent comprendre des guides d'entretien, des comptes rendus de
réunion, des listes de contrôle, des résultats d'échantillonnage, etc.
L'équipe d'audit doit conserver ses documents de travail jusqu'à la fin de l'audit. Puis, les documents devraient
être archivés ou détruits.
Il est important d'assurer la protection de tous les documents de travail pendant l'audit, car ils peuvent contenir
des informations confidentielles appartenant à l'audité.
ISO 19011, article 6.3.4 Préparation des informations documentées en vue de l’audit (suite)
Il convient que les membres de l’équipe d’audit protègent de façon permanente et de manière adéquate les
informations documentées produites pendant le processus d’audit comportant des informations confidentielles ou
protégées.

13/122
Cohérence et standardisation : Les auditeurs devraient maintenir une écriture cohérente en utilisant des
formats uniformes dans les documents de travail. De cette façon, il sera plus facile de comprendre et d'examiner
l’information documentée. En outre, la continuité sera favorisée lorsqu'un auditeur reprendra un travail qui a été
initié par un autre auditeur. Toutefois, les auditeurs peuvent introduire un format différent, si nécessaire.
Précision et respect des délais : Les documents relatifs aux travaux d'audit devraient refléter de manière
précise les tests planifiés et leurs résultats. En outre, des documents concernant le calendrier des travaux
effectués devraient être fournis.
Clarté et concision : Les documents de travail devraient toujours être bien organisés et comporter des
références claires, dans un langage et une structure concis. De cette manière, il sera plus facile de comprendre
la manière dont le processus d'audit a été mené.
Complétude : Les documents relatifs aux travaux d'audit doivent couvrir l'ensemble du processus d'audit, y
compris les tests effectués, les réunions, les réponses de la direction et les conclusions.
Responsabilité et révision : Les documents relatifs aux travaux d'audit doivent toujours indiquer le nom de la
personne qui a effectué chaque élément du travail d'audit. L'identité des réviseurs doit également être
documentée.
Confidentialité: En principe, les documents relatifs aux travaux d'audit sont confidentiels. Leur exposition ne
peut se produire que pour le plus grand intérêt.
Source: Nzechukwu, Patrick Onwura. Internal Audit Practice from A to Z. Florida: CRC Press, 2016.

14/122
L'utilisation de listes de contrôle n'est pas nécessaire lors de la réalisation d'un audit. Les listes de contrôle
sont simplement «un outil dans la boîte à outils de l'auditeur».
Une liste de contrôle permet de couvrir les exigences minimales, telles que les exigences définies par le
périmètre de l'audit. Ainsi, elle contribue à garantir qu'un audit est effectué de manière systématique et que des
preuves appropriées sont obtenues.
Une liste de contrôle d'audit peut inclure une liste de définitions pour assurer l'uniformité des réponses et elle doit
prévoir un espace approprié pour les réponses, les commentaires et les observations. Les éléments inclus dans
la liste de contrôle devraient contenir des références aux normes correspondantes.
Une liste de contrôle bien préparée comprend un mode d'emploi.
L'audité peut recevoir la liste de contrôle avant le début de l'audit. La liste de contrôle permet à l'audité de mieux
se préparer à l'audit.
Une liste de contrôle peut être utilisée comme point de référence lors de la planification de futurs audits.
Note importante : Les listes de contrôle ne remplacent pas toutes les autres méthodes de collecte
d'informations. Au mieux, elles aident les auditeurs pendant la réalisation d'un processus d'audit. Elles ne
peuvent pas remplacer le jugement professionnel de l'auditeur.

15/122
Les auditeurs considèrent souvent que les normes en matière de documentation sont restrictives. Ils dépensent
parfois beaucoup d'énergie à essayer de trouver la manière la plus appropriée de les utiliser et de les appliquer.
Une norme documentaire bien conçue et soigneusement appliquée peut faire gagner beaucoup de temps et
améliorer la qualité globale de l'audit, notamment en ce qui concerne le rapport d'audit
La norme documentaire devrait permettre une flexibilité suffisante pour s'adapter à la diversité des missions
d'audit et à la modification des besoins. Il est recommandé de standardiser la présentation des documents de
travail des auditeurs et d'accroître leur lisibilité pour en faciliter la consultation.

16/122
Exercice 8 : Revue d'un plan d'audit
En vous référant à l'étude de cas, analysez le plan d'audit ci-dessous et soulignez les erreurs de ce plan.
Durée de l’exercice : 30 minutes

Commentaires : 10 minutes

17/122
Résumé de la section
1. Les étapes de planification de l'audit comprennent l'acquisition de connaissances sur la mission de l'audité,
ses objectifs et ses processus, la définition des objectifs et du périmètre d'audit, l'appréciation des risques
et l'élaboration de la stratégie d'audit.
2. Le plan d’audit doit être adapté aux objectifs et au périmètre de l’audit.
3. Les étapes de la stratégie d'audit comprennent la définition du périmètre d'audit, la communication des
objectifs de l'audit, l’adoption du calendrier de l'audit, l'identification des questions et des domaines clés qui
nécessitent un jugement professionnel et l'obtention de preuves d'audit.
4. Les plans de test d'audit combinent l'utilisation de plusieurs procédures d'audit, telles que l'observation, la
revue de l’information documentée, les entretiens, l'analyse technique et la vérification.
5. L'utilisation de listes de contrôle n'est pas nécessaire lors de la réalisation d'un audit. Toutefois, elles
peuvent être utilisées comme point de référence lors de la planification de futurs audits.

18/122
Cette section détaille les éléments de l'étape 2 de l'audit, y compris la réunion d'ouverture, la collecte
d'information, les tests d'audit et la revue de la qualité.

19/122
20/122
Au début de l'audit sur site, il est recommandé de tenir une réunion d'ouverture avec les représentants de l'entité
auditée et les personnes responsables des opérations ou des processus à auditer. Lors d’un audit de
certification, les réunions sont censées être formelles. La présence est obligatoire et doit être retenue comme
preuve. Le responsable de l'équipe d'audit préside généralement la réunion.
Les activités suivantes sont incluses dans la réunion d'ouverture : présentation de l'équipe d'audit, confirmation
du plan d'audit, explication succincte de la manière dont les activités d'audit seront menées, confirmation des
canaux de communication et identification des problèmes d'audit potentiels.
La réunion d'ouverture, considérée comme un moyen unique et efficace d'établir de bonnes relations entre
l'équipe d'audit et l'audité, devrait être organisée de manière à permettre une interaction (par exemple, l'audité
répond sans hésitation à toutes les questions potentielles).
ISO/IEC 17021-1, article 9.4.2 Conduite de la réunion d’ouverture
Une réunion d’ouverture formelle doit être tenue avec la direction du client et, le cas échéant, les responsables
des fonctions ou des processus à auditer. La réunion d’ouverture, normalement animée par le responsable de
l’équipe d’audit, a pour objectif de fournir une courte explication sur la façon dont les activités d’audit vont se
dérouler.

21/122
ISO 19011, article 6.4.3 Conduite de la réunion d’ouverture (suite)
Il convient de tenir une réunion d’ouverture avec la direction de l’audité et, le cas échéant, avec les personnes
responsables des fonctions ou des processus à auditer. Il convient que la réunion prévoie une séance de
questions.
Il convient que le niveau de détail soit conforme au degré de familiarité de l’audité avec le processus d’audit. Dans
de nombreux cas, par exemple audits internes dans un petit organisme, la réunion d’ouverture peut se borner à
annoncer qu’un audit est réalisé et à en expliquer la nature.
Dans d’autres situations d’audit, la réunion peut être formelle et il convient dans ce cas de conserver les
enregistrements de présence.

22/122
ISO 19011, article 6.4.3 Conduite de la réunion d’ouverture
Il convient d’envisager la présentation des éléments suivants, selon le cas:
les autres participants, y compris les observateurs, les guides et les interprètes, et une description
succincte de leurs rôles;
les méthodes d’audit permettant de gérer les risques pour l’organisme susceptibles d’être engendrés par la
présence des membres de l’équipe d’audit.
Il convient d’envisager la confirmation des éléments suivants, selon le cas:
les objectifs, le champ et les critères de l’audit;
le plan d’audit et les autres dispositions pertinentes, telles que la date et l’heure de la réunion de clôture,
toutes les réunions intermédiaires entre l’équipe d’audit et la direction de l’audité, ainsi que toute
modification nécessaire;
les circuits de communication formels entre l’équipe d’audit et l’audité;
la langue à pratiquer pendant l’audit;
le fait que l’audité sera tenu informé de l’avancement de l’audit pendant celui-ci;
la disponibilité des ressources et de la logistique nécessaires à l’équipe d’audit;
les questions relatives à la confidentialité et à la sécurité des informations;
les dispositions pertinentes en matière d’accès, de santé et de sécurité, de sûreté, de situations d’urgence
et autres dispositions pour l’équipe d’audit;
les activités sur le site susceptibles d’avoir un impact sur la réalisation de l’audit.
Il convient d’envisager la présentation d’informations sur les sujets suivants, selon le cas:
la méthode de compte rendu des constatations d’audit, y compris les critères de classement éventuels;
les conditions dans lesquelles il peut être mis fin à l’audit;
la manière de traiter les constatations éventuelles au cours de l’audit;
tout système de retour d’information de l’audité sur les constatations ou les conclusions de l’audit, y
compris les réclamations ou les recours.

23/122
Le processus de collecte d'information suit des procédures similaires à celles des expérimentations scientifiques.
L'auditeur recueille d'abord des informations factuelles et les évalue aussi objectivement que possible. L'auditeur
a tendance à se baser sur des échantillons d'informations disponibles en fonction du caractère limité de l'audit en
termes de temps et de ressources.
L'auditeur a le droit d'exiger de l'audité d’avoir accès à toutes les sources d'information disponibles afin
de pouvoir évaluer correctement les procédures et leur conformité aux exigences applicables.
Voici quelques exemples de sources d'information :
Indicateurs : Tableaux de bord concernant les indicateurs sur les défauts et les incidents de sécurité de
l'information
Configurations du système : Configurations de pare-feu démontrant que l'accès aux sites Web interdits
est bloqué
Observations : Constatation que la salle des serveurs est verrouillée par un mécanisme d'accès par carte
magnétique
Bases de données et sites Web : Bases de données des employés et intranet
Enregistrements : Journaux d'accès à la salle des serveurs consignés par l'accès au système de cartes
magnétiques, journal des visiteurs, etc.
Documents : Politique de sécurité de l'information, procédure d'installation des logiciels, manuel de
l'employé, rapports provenant d'autres sources (par exemple, commentaire des clients, enquêtes externes
et mesurages), etc.
Entretiens : Entretiens avec l'administrateur réseau, entretiens de groupe avec le personnel du Service
d'assistance, etc.

24/122
Exercice 9 : Préparer la réunion d'ouverture
Sur la base de l'étude de cas, préparez une réunion d'ouverture pour l'audit qui sera réalisé chez BankIT.


25/122
Au sens large, le travail de l'auditeur consiste principalement à recueillir des informations, à effectuer des tests
d'audit, à corroborer et à évaluer les preuves d'audit.
Les activités présentées sur la diapositive illustrent la nature itérative du processus, ce qui signifie que l'auditeur
fera des allers-retours entre ces étapes pendant la réalisation de l'audit.
La réalisation de tests est l'une des étapes les plus cruciales d'un audit, tant en termes d'importance que
de durée. Les tests d'audit comprennent :
Entretiens avec le personnel impliqué dans les processus audités et la direction
Revue de l’information documentée, sur support papier ou électronique
Revue des procédures
Visite du site par une combinaison de procédures d'audit comprenant une enquête, suivie d'une
observation et d'une inspection générale des processus
Inspection des instructions de travail
Manuels et autres matériels qui font partie du système de management de la sécurité de l'information
Les preuves qui étayent les tests effectués sont également recueillies.

26/122
La détermination des conclusions de l'audit est une partie importante de tout audit. Au cours de cette étape, les
auditeurs évaluent les preuves recueillies au cours de l'audit par rapport aux critères déterminés. Tout aussi
importante est la nécessité d'accompagner les conclusions d'audit de leurs preuves à l'appui.
Lorsque l'audit est réalisé par plusieurs auditeurs, les membres de l'équipe doivent se réunir à des stades
pertinents de l'audit pour examiner les constatations d'audit.
Le responsable de l'équipe d'audit doit s'efforcer de résoudre toute divergence d'opinions concernant les preuves
ou les constatations d'audit au sein de l'équipe.

27/122
28/122
Questions de discussion :
1. Pourquoi est-il important de tenir une réunion d'ouverture ?
2. Quelles sont certaines des sources d'information dont l'auditeur a besoin pour évaluer la conformité aux
exigences des normes ?
3. Quelles sont les procédures que l'auditeur peut utiliser pour effectuer un test d'audit ?
4. Comment la revue qualité affecte-t-elle un audit ?

29/122
1. La réunion d'ouverture comprend une série d'activités exécutées dans le but d'atteindre les principaux
objectifs fixés : présenter l'équipe d'audit, confirmer le plan d'audit, expliquer brièvement comment les
activités d'audit seront menées, confirmer les canaux de communication et identifier les problèmes d'audit
potentiels.
2. Selon la norme ISO 19011, article 6.4.3, la réunion d'ouverture a pour but de confirmer l'accord de tous les
participants (par exemple, l'audité, l'équipe d'audit) concernant le plan d'audit, de présenter l'équipe d'audit
et ses rôles, et de s'assurer que toutes les activités d'audit prévues peuvent être réalisées.
3. Les tests d'audit comprennent des entretiens avec le personnel, les superviseurs et la direction générale,
la revue de documents, de rapports et de fichiers électroniques, le cas échéant, etc.
4. La revue qualité garantira que les procédures d'audit sont respectées et que les conclusions d'audit sont
cohérentes.

30/122
Cette section propose des recommandations sur la manière de se comporter et de communiquer pendant l'audit,
y compris la responsabilité des guides et la présence d'observateurs. En outre, cette section traite des conflits
potentiels entre les auditeurs et l'audité, ou entre les membres de l'équipe d'audit eux-mêmes.

31/122
Comportez-vous de manière professionnelle : Un auditeur devrait faire preuve d'un comportement
professionnel, respecter les principes de la profession et les lois et politiques internes respectives de l'audité,
suivre le plan d'audit, être ponctuel, etc.
Adoptez une attitude professionnelle : Il est recommandé de s'habiller de manière appropriée et de se
conformer au code vestimentaire de l'audité. Un auditeur peut donner une mauvaise impression s'il est habillé de
façon trop décontractée, alors qu'être «trop habillé» peut être perçu comme intimidant par certains. Le bon sens
et l'observation lors de la visite préliminaire sont utiles pour déterminer le code vestimentaire le plus approprié.
Donnez l'exemple : Un auditeur devrait protéger ses notes personnelles, sécuriser son ordinateur, fermer sa
session de travail lorsqu'il quitte son poste de travail, jeter les documents et papiers inutiles aux endroits
appropriés, utiliser une clé USB sécurisée, etc.
Faites preuve de crédibilité et de transparence : Un auditeur doit faire preuve de crédibilité et de fiabilité en
communiquant de manière cohérente avec toutes les parties concernées et ne doit pas fournir des informations
contradictoires à différentes personnes ou différents groupes. Dans le même temps, l'auditeur doit également
être transparent (p. ex., faire connaître son opinion à l'audité).
Soyez poli et courtois : Un auditeur doit être poli et courtois à tout moment pendant un audit. Il devrait
remercier les personnes interrogées pour leur contribution et leur participation. En outre, il devrait également
adhérer aux principes de l'audité et éviter de s'impliquer dans les conflits internes de l'audité.

32/122
ISO 19011, article 6.4.4 Communication pendant l’audit (suite)
Pendant l’audit, il convient que le responsable de l’équipe d’audit informe régulièrement l’audité, et, le cas
échéant, le client de l’audit, de l’avancement de l’audit, de toutes constatations importantes et de toute difficulté. Il
convient d’informer immédiatement l’audité, et, le cas échéant, le client de l’audit, de toute preuve recueillie au
cours de l’audit qui laisse supposer un risque immédiat et significatif. Il convient que tout problème concernant
une question en dehors du champ de l’audit soit noté et communiqué au responsable de l’équipe d’audit, pour en
faire éventuellement part au client de l’audit et à l’audité.
Lorsque les preuves d’audit disponibles indiquent que les objectifs de l’audit sont irréalisables, il convient que le
responsable de l’équipe d’audit en rapporte les raisons au client de l’audit et à l’audité pour déterminer les actions
appropriées. Ces actions peuvent comprendre des modifications de la planification, des objectifs ou du champ de
l’audit, ou l’arrêt de l’audit.
Il convient de passer en revue avec la ou les personnes responsables du management du programme d’audit et le
client de l’audit et de faire approuver par ceux-ci, tout besoin de modifications du plan d’audit qui pourrait survenir
pendant le déroulement des activités d’audit, ces modifications étant ensuite présentées à l’audité.

33/122
Tout problème lié à une question hors périmètre est systématiquement noté et communiqué au représentant de
l'audité. Toutefois, l'auditeur ne doit pas en tenir compte lors de la rédaction du rapport d'audit. Par exemple,
l'auditeur observe que, dans un service qui n'est pas couvert par la documentation d'audit, les procédures ne
sont pas suivies correctement par les employés. L'auditeur devrait informer l'audité de la situation observée,
mais ne pas l'inclure dans le rapport d'audit. Toutefois, si une situation similaire se produit dans un service inclus
dans le périmètre de l'audit, il incombe à l'auditeur de l'inclure dans le rapport d'audit.

34/122
Toute mauvaise communication potentielle entre l'équipe d'audit et l'audité au cours du processus d'audit peut
entraîner de la frustration, de la confusion et de la méfiance.
L'auditeur devrait également prêter attention à la communication non verbale, aux messages envoyés par le
langage corporel ou à d'autres signes non verbaux.
La communication non verbale inclut, mais n'est pas limitée à :
Ton de la voix
Apparence
Expressions faciales et contact visuel
Langage du corps
Distance entre l'émetteur et le destinataire
En outre, l'auditeur devrait accorder une attention particulière aux aspects culturels de l'audité. Les différences
culturelles peuvent entraîner une mauvaise interprétation de la communication non verbale.

35/122
La communication concernant l'avancement de l'audit est généralement informelle.
L'équipe d'audit doit se réunir régulièrement. Ces réunions sont importantes pour assurer le respect du plan
d'audit et pour discuter des questions et problèmes potentiels rencontrés au cours de l'audit.
Pour qu'une réunion atteigne ses objectifs, le responsable de l'équipe d'audit doit tenir compte des suggestions
suivantes :
1. Toujours programmer les réunions, même si elles sont informelles
2. Au début de la réunion, demander à chaque auditeur de présenter son travail et les problèmes potentiels
rencontrés au cours de l'audit afin de tenir tout le monde au courant de l'avancement de l'audit
3. Classer par ordre de priorité les questions à discuter
4. Planifier la durée de chaque point à traiter et s'assurer d'affecter du temps supplémentaire pour les
imprévus
5. Encourager l'échange d'informations entre les membres de l'équipe d'audit, éviter les discussions
monopolisées et essayer de faire participer tout le monde
6. Promouvoir un environnement où l'écoute et l'ouverture sont appréciées
7. Utiliser les objections et les conflits comme source de progrès ; cibler les problèmes et non les personnes
8. Minimiser la situation en expliquant les principes et exigences applicables afin d'identifier les points de
différences et de similitudes en cas de désaccord important concernant les constatations d'audit
9. Gérer efficacement le temps, car ces réunions sont censées être brèves
10. Terminer la session par un résumé de ce qui a été dit ou décidé ou par une mise à jour sur les derniers
progrès

36/122
Note : L'auditeur devrait être informé avant le début de l'audit de la présence de tout observateur.
ISO 19011, article 6.4.2 Attribution des rôles et responsabilités des guides et des observateurs
Des guides et des observateurs peuvent accompagner l’équipe d’audit avec l’approbation du responsable de
l’équipe d’audit, du client de l’audit et/ou de l’audité, si nécessaire. Il convient qu’ils n’exercent aucune influence
ou ingérence dans la façon dont est réalisé l’audit. Si cette absence d’influence ou d’ingérence ne peut être
garantie, il convient que le responsable de l’équipe d’audit puisse refuser la présence des observateurs pendant
certaines activités d’audit.Dans le cas des observateurs, il convient que les dispositions éventuelles relatives à la
santé et à la sécurité, à l’environnement, à la sûreté et à la confidentialité, soient gérées entre le client de l’audit et
l’audité.
Il convient que les guides nommés par l’audité assistent l’équipe d’audit et agissent à la demande du responsable
de l’équipe d’audit ou de l’auditeur auquel ils ont affectés. Il convient que leurs responsabilités comprennent ce
qui suit:
a. aider les auditeurs à identifier les personnes devant participer aux entretiens et à programmer les dates et
lieux de ces entretiens;
b. préparer des visites dans des lieux ou sites particuliers de l’audité;
c. s’assurer que les règles concernant les dispositions spécifiques au site en matière d’accès, de santé et de
sécurité, d’environnement, de sûreté, de confidentialité et d’autres questions, sont connues et respectées
par les membres de l’équipe d’audit et les observateurs et que les risques éventuels sont traités;
d. être témoin de l’audit pour le compte de l’audité, le cas échéant;
e. fournir des clarifications ou aider à recueillir des informations, lorsque cela est nécessaire.

37/122
Les responsabilités d'un guide comprennent, mais ne se limitent pas à
1. Faciliter les activités d’audit : Les guides peuvent orienter les auditeurs vers une utilisation correcte des
ressources, encourager une bonne coopération entre l'auditeur et le personnel de l'audité, assurer le suivi
des demandes d'information documentée, etc.
2. Maintenir la logistique : Les guides peuvent réserver des salles pour que l'auditeur puisse travailler,
s'assurer que les connexions Internet et téléphoniques fonctionnent correctement, commander des repas
ou des rafraîchissements, demander des cartes d'accès (et des permis de stationnement, si nécessaire),
informer la sécurité ou le Service des ressources humaines de leur arrivée, agir conformément aux
procédures organisationnelles, etc.
3. Veiller à ce que les politiques de santé et sécurité soient respectées : Le cas échéant, les guides
doivent informer l'équipe d'audit des règlements internes de l'audité, en particulier ceux concernant la
santé et la sécurité au travail. Par exemple, dans les zones sujettes aux ouragans, l'équipe d'audit doit être
au courant des mesures d'urgence et des procédures d'évacuation. Sur un chantier de construction, les
membres de l'équipe d'audit doivent porter un casque.
4. Assister au processus d'audit au nom de l'audité : Les guides peuvent prendre des notes d'audit pour
présenter des résumés internes et, si nécessaire, fournir des clarifications sur les points soulevés par
l'équipe d'audit.

38/122
Les conflits peuvent provenir de plusieurs sources, notamment de ruptures de communication, de pressions
élevées, de traitements injustes, de différences de personnalité, etc. L'auditeur doit prendre des actions pour
limiter les sources potentielles de conflit. Si, malgré ces efforts, un conflit survient, le responsable de l'équipe
d'audit a la responsabilité de trouver un moyen de le résoudre.
Conflit interne : Il est possible qu'un conflit survienne ou qu'une telle situation existe déjà entre diverses
personnes ou unités de l'audité. Un auditeur ne doit jamais prendre parti dans de telles situations.
Entretien infructueux : La personne interrogée peut ne pas fournir les informations nécessaires, ce qui rend
l'entretien infructueux. L'auditeur doit toujours être en contrôle et bien préparé pour l'entretien. Les entretiens sont
mieux menés lorsque l'auditeur prépare une liste de questions qui permettent d'identifier les faiblesses, les
inefficacités ou les non-conformités.
Antagonisme ou manque de coopération Les employés de l'audité pourraient être hostiles aux auditeurs.
C’est généralement dû à des problèmes de communication. Normalement, la direction de l'audité doit informer
correctement les employés impliqués dans les processus audités. Si les employés de l'audité ne sont pas
coopératifs, la situation doit être documentée et envoyée à la direction de l'audité, afin qu'elle puisse résoudre le
problème.
Temps perdu : On peut perdre du temps dans un audit. Par exemple, du temps peut être perdu lors de la
rencontre des employés d'un service de l'audité, lors de longues pauses, lorsque les guides sont en retard au
travail chaque matin, lorsque les documents demandés sont archivés dans un lieu éloigné du site, lorsque les
travailleurs ne sont pas disponibles, etc. Toute personne participant à l'audit doit respecter l’horaire de l'audit et
veiller à ce qu'il n'y ait pas de perte de temps.

39/122
Conflit interne au sein de l'équipe d'audit
Au cours de l'audit, les auditeurs devront parfois faire face à un conflit impliquant des membres de l'équipe
d'audit. Des conflits d'équipe peuvent survenir en raison de :
Différence d'opinions concernant une déclaration lors de l'audit ou la rédaction d'une non-conformité
Différence dans les méthodes de travail
Conflit personnel entre deux auditeurs
Attitude de travail d'un auditeur (retard aux rendez-vous ou manque de courtoisie)
L’intervention d'une tierce partie est souvent la meilleure méthode pour résoudre un conflit ; c'est le responsable
de l'équipe d'audit qui assume généralement ce rôle.
Techniques de résolution des conflits :
Négociation : Les deux parties coopèrent pour trouver une solution gagnant-gagnant.
Compromis : À l'issue des négociations, chaque partie fait des concessions afin de parvenir à un accord
commun.
Baisse de ton : Les points d'accord sont soulignés et les points de désaccord sont mis en perspective
(mais le conflit n'est pas complètement résolu).
Force ou domination : Le responsable de l'équipe d'audit utilise l'autorité pour résoudre le conflit.
Évitement ou retrait : Le responsable de l'équipe d'audit attribue différentes tâches aux auditeurs en
conflit afin qu'ils n'aient plus à travailler ensemble. Néanmoins, cela ne résout pas le conflit (applicable
uniquement pour les conflits personnels, pas une option si le conflit est lié à l'audit).

40/122
Au cours de leur carrière, les auditeurs seront exposés à des organisations qui présentent des différences
culturelles sociales, économiques, politiques ou religieuses. Néanmoins, il est important de garder à l'esprit que
l'intégrité du processus d'audit ne peut être compromise en raison de ces différences culturelles.
Par exemple, la main-d'œuvre des organismes multinationaux est très diversifiée en termes de nationalité,
d'origine culturelle, etc. Dans de tels cas, l'équipe d'audit doit envisager d'engager un expert qui connaît la culture
de l'audité.

41/122
La culture interne d'un organisme peut être indépendante de la culture externe dans laquelle l'organisme opère.
Voici quelques points importants à prendre en considération :
1. Niveau de formalité et code vestimentaire : Les auditeurs peuvent envoyer un mauvais message s'ils
sont habillés d'une manière que la culture locale juge inappropriée Par exemple, dans certaines cultures,
les gens peuvent être mal à l'aise de voir une auditrice porter une jupe ou un chemisier décolleté.
L'observation et le jugement lors de la visite préliminaire sont des outils utiles pour déterminer le code
vestimentaire approprié.
2. Organisation hiérarchique : Les auditeurs sont souvent confrontés à des cultures organisationnelles
formelles et informelles. C’est particulièrement évident dans les interactions hiérarchiques et les
communications d'un organisme Les auditeurs doivent donc être conscients des protocoles culturels
concernant la hiérarchie de l'organisation.
3. Approche à adopter pour rapporter les conclusions de l'audit : Il est important que toutes les non-
conformités identifiées au cours de l'audit soient correctement documentées et soumises à l'organisme.
Certaines cultures organisationnelles sont plus sensibles et plus défensives à l'égard des rapports de non-
conformité. Dans certaines situations, la direction peut rejeter la faute sur les auditeurs. Cela peut
provoquer des tensions supplémentaires pendant l'audit, mais cela ne doit pas décourager les auditeurs
de signaler ces non-conformités.
4. Approche sur les questions culturelles : Voici quelques aspects culturels de base qui doivent être pris
en compte dans un audit :
Langue
Coutumes locales
Questions politiques sensibles
Questions religieuses sensibles, croyances, dates de festivals religieux importants
Sensibilités aux questions de genre
Respect de soi et fierté nationale
Langage du corps

42/122
Lors des audits, un auditeur doit communiquer avec la direction de l'audité. Pour se préparer à un entretien ou à
une réunion, l'auditeur doit déterminer quel est le style de gestion pratiqué au sein de l'entité auditée. Sans
modifier les techniques d'audit, l'auditeur s'adaptera au style et à la culture de gestion de l'audité.
Selon le psychologue Kurt Lewin, il existe trois grandes catégories de leadership : autocratique, laxiste et
démocratique.
1. Les dirigeants autocratiques prennent toutes les décisions importantes et supervisent et contrôlent
étroitement leurs employés. Ils fixent les objectifs, les délais, les attentes et les méthodes. Ils prennent des
décisions de manière indépendante, en consultant peu ou pas du tout les autres.
2. Les dirigeants laxistes permettent à leurs employés de fixer les objectifs, d'établir les responsabilités et
de fixer des délais et des méthodes pour accomplir le travail. Le pouvoir de décision est délégué aux
employés tandis que le gestionnaire écoute leurs recommandations.
3. Les dirigeants démocratiques guident leurs employés, en participant également au travail. Ils sont
beaucoup plus attentifs aux besoins, aux émotions et aux opinions de leurs employés. Ils consultent les
employés et écoutent leurs opinions. Toutefois, ils prennent les décisions finales parce qu'ils estiment qu'il
est de leur responsabilité de le faire.

43/122
La communication avec la direction de l'audité permet à l'auditeur de valider son engagement dans
l'établissement, la mise en œuvre, la maintenance, le suivi, la mise à jour et l'amélioration du système de
management de la sécurité de l'information.
ISO 19011, Annexe A.9 Audit du leadership et de l’engagement
De nombreuses normes de systèmes de management ont des exigences accrues concernant la direction.
Ces exigences comprennent: faire preuve de leadership et d’engagement en assumant la responsabilité de
l’efficacité du système de management et assumer de nombreuses responsabilités. Celles-ci comprennent des
tâches devant être réalisées par la direction elle-même et d’autres qu’elle peut déléguer.
Il convient que les auditeurs obtiennent des preuves objectives du degré d’implication de la direction dans les
prises de décision relatives au système de management et de son degré d’engagement pour assurer son
efficacité. Ces preuves peuvent être obtenues par une revue des résultats de processus pertinents (par exemple
politiques, objectifs, ressources disponibles, communications de la direction) et par des entretiens avec le
personnel afin de déterminer le degré d’implication de la direction.
Il convient que les auditeurs aient également pour objectif de s’entretenir avec la direction afin de confirmer
qu’elle a une compréhension adéquate des enjeux spécifiques à la discipline, pertinents pour son système de
management, ainsi que du contexte dans lequel opère l’organisme, afin de pouvoir assurer que le système de
management atteint les résultats escomptés.
Il convient que les auditeurs ne se concentrent pas uniquement sur le leadership au niveau de la direction, mais
auditent également le leadership et l’engagement à d’autres niveaux de management, selon le cas.

44/122
1. Se préparer pour la réunion
L'entretien avec la direction dure généralement de 15 à 30 minutes. L'auditeur devrait toujours
arriver préparé. Compte tenu des contraintes de temps, le bavardage doit être réduit au minimum (il
est toujours utile au début de la réunion pour réduire la tension, mais ne doit pas être prolongé). Il
est à noter que la direction peut demander qu'un expert, tel que le responsable de la conformité,
assiste à la réunion pour clarifier certains points.
2. Utiliser un langage destiné à la direction
L'auditeur doit éviter d'utiliser un jargon technique ou des acronymes. Il doit plutôt recourir à des
explications non techniques et interroger la direction sur la stratégie plutôt que sur des aspects
technologiques spécifiques.
3. Garder une distance professionnelle
L'auditeur doit utiliser un mode de communication formel (formules de courtoisie, etc.), éviter les
gestes informels tels que prendre une personne par les épaules ou l'inviter à sortir, etc.
4. Informer la direction du temps estimé nécessaire pour l'entretien
L'emploi du temps de la direction est généralement très serré. Par conséquent, le fait de les
informer du temps nécessaire pour l'entretien les aide à gérer plus efficacement leur agenda. Cela
leur donne également le temps de se préparer au cas où il serait nécessaire de rassembler des
informations provenant de diverses sources (par exemple, de l’information documentée).
5. Résumer et confirmer les réponses de la direction
L'auditeur doit résumer les réponses de la direction à la fin de chaque entretien et obtenir la
confirmation que l’information a été bien comprise.
La première impression lors de la communication avec la direction de l'audité est très importante, car elle en dit
long sur la crédibilité de l'équipe d'audit.

45/122
Les chiffres entre parenthèses renvoient aux articles respectifs de la norme ISO/IEC 27001.

46/122
Exercice10: Entretien avec le responsable de la sécurité de l'information
Vous allez interviewer Alan Brown, le responsable de la sécurité de l'information de BankIT Solutions, qui est
également responsable de la mise en œuvre du SMSI. Assurez-vous de poser des questions concernant les
articles suivants :
Annexe A. 9.4.5 Contrôle d’accès au code source des programmes
Annexe A.13.1.1 Contrôle des réseaux
Annexe A.14.1.3 Protection des transactions liées aux services d’application

47/122
Résumé de la section :
1. Il est essentiel que les auditeurs se présentent de manière professionnelle en donnant l'exemple, en ayant
l'air professionnels et en étant polis, crédibles et transparents lors des audits sur site.
2. La communication pendant l'audit devrait être régulière et informative concernant toutes les non-
conformités possibles identifiées jusqu'à présent. En outre, si l'équipe d'audit a observé une situation
susceptible de présenter un risque potentiel à court terme, elle doit en informer l'audité dès que possible.
3. En général, la communication pendant l'audit est informelle et verbale.
4. Un guide aide et soutient les auditeurs pendant le processus d'audit en assurant la logistique, en
garantissant l'observation des politiques de santé et sécurité, en assistant au processus d'audit au nom de
l'audité, et en coordonnant et facilitant les activités d'audit.
5. Au cours de l'audit, les auditeurs devraient communiquer avec la direction afin de valider leur engagement
envers le système de management de la sécurité de l'information.

48/122
Cette section fournit des informations qui aideront les participants à acquérir des connaissances sur les
procédures d'audit, depuis la collecte d'information jusqu’à l’émission des conclusions d'audit.

49/122
Pour s’assurer qu’une exigence est satisfaite, l’auditeur doit recueillir les preuves de différentes sources
d’information et les évaluer objectivement. Le processus de collecte de preuves peut être réalisé en utilisant
différentes procédures (méthodes) d'audit, y compris l'échantillonnage, le cas échéant.
Après l’évaluation de la preuve d’audit par rapport au critère d’audit, l’auditeur rédige les constatations d’audit.
Finalement, après avoir réalisé l’analyse de toutes les constatations d’audit et la revue qualité, l’équipe d’audit
émet les conclusions d’audit.
ISO/IEC17021-1, article9.4.4.1
Pendant l’audit, les informations relatives aux objectifs, au périmètre et aux critères de l’audit (y compris les
informations relatives aux interfaces entre les fonctions, les activités et les processus) doivent être obtenues à
l’aide d’un échantillonnage approprié, puis vérifiées pour devenir des preuves d’audit.
ISO/IEC17021-1, article9.4.4.2
Les méthodes permettant d’obtenir les informations comprennent les éléments suivants, dont la liste n’est pas
exhaustive:
a. des entretiens;
b. l’observation des processus et des activités;
c. la revue des documents et des enregistrements.
Exemples d'étapes de cueillette de preuves d'audit :
Mesure manuelle (exemple A) : L'attribution de droits d'accès à l'application financière de l'organisme
doit être préalablement approuvée par le propriétaire du système (critères d'audit interne définis par
l'audité).
Mesure automatisée (exemple B) : Les sauvegardes doivent être effectuées automatiquement et
quotidiennement (critères d'audit interne fixés par l'audité).

50/122
1. Sources d'information : Les sources d'information sont des données brutes dont dispose l'auditeur et qui
n'ont pas encore été sélectionnées ou analysées. Pour l'échantillonnage, les sources d'information
représentent la population.
ExempleA : Formulaires d'autorisation signés
ExempleB : Configurations des systèmes de sauvegarde
2. Preuve d’audit L’information obtenue et sélectionnée qui n'a pas encore été analysée par l'auditeur sert
de preuve d'audit. Pour l'échantillonnage, l'auditeur doit suivre une approche systématique ou aléatoire
dans la sélection de l'échantillon.
ExempleA : Échantillon de formulaires d'autorisation signés
ExempleB : Observation et captures d'écran des configurations de sauvegarde
3. Constatations d’audit : Après une analyse des constatations d'audit par rapport aux critères d'audit,
l'auditeur doit comparer les constatations aux critères afin de s'assurer qu'elles sont effectivement
conformes aux critères d'audit.
ExempleA : Trois formulaires d'accès sur un échantillon de 25 formulaires d'accès n'ont pas été
signés par le propriétaire de l'application du système Conformité partielle aux critères Non-
conformité mineure
ExempleB : Les configurations montrent que les sauvegardes sont effectuées automatiquement et
quotidiennement Conforme aux critères Conformité
4. Conclusions d’audit : Le responsable de l'équipe d'audit analyse les constatations d'audit, tandis qu'une
revue de la qualité est effectuée par un autre auditeur. Enfin, l'auditeur émet la conclusion d'audit.
ExempleA : À la suite des commentaires du réviseur, l'auditeur modifie les constatations d'audit
pour une non-conformité majeure, car les formulaires de non-conformité sont liés à des demandes
de droits d'accès à des systèmes critiques. Par la suite, l'auditeur émet la conclusion d'audit :
recommandation défavorable pour la certification.
ExempleB : Le réviseur est du même avis que l'auditeur et considère que le contrôle est conforme.
Par la suite, l'auditeur émet la conclusion de l'audit : recommandation favorable pour la certification.

51/122
ISO 19011, Annexe A.1 Application des méthodes d’audit
Un audit peut être réalisé en utilisant une gamme de méthodes d’audit. La présente annexe donne une explication
des méthodes d’audit couramment utilisées. Les méthodes d’audit sont choisies en fonction des objectifs, du
champ et des critères définis de l’audit ainsi que de la durée et du lieu (site). Il convient de tenir également
compte du fait de pouvoir disposer de la compétence de l’auditeur et de toute incertitude liée à l’application des
méthodes d’audit. L’application de plusieurs méthodes d’audit différentes combinées permet d’optimiser l’efficacité
et l’efficience du processus d’audit et de ses résultats.
La réalisation d’un audit implique une interaction entre les personnes agissant au sein du système de
management soumis à audit et la technologie utilisée pour conduire l’audit. Le Tableau A.1 donne des exemples
de méthodes d’audit qu’il est possible d’utiliser, de manière unique ou en combinaison, afin d’atteindre les
objectifs de l’audit. Si un audit fait appel à une équipe d’audit composée de plusieurs membres, il est possible
d’utiliser simultanément les méthodes sur site et à distance.
La responsabilité de l’application efficace des méthodes d’audit pour tout audit donné au cours de la phase de
planification relève soit de la ou des personnes responsables du management du programme d’audit, soit du
responsable de l’équipe d’audit. Ce dernier est chargé de réaliser les activités d’audit.
La faisabilité des activités d’audit à distance peut dépendre de plusieurs facteurs (par exemple le niveau de risque
pour réaliser les objectifs de l’audit, le niveau de confiance qui existe entre l’auditeur et le personnel de l’audité et
les exigences réglementaires).
Pour ce qui concerne le programme d’audit, il convient de s’assurer que l’utilisation de l’application à distance et
sur site des méthodes d’audit est adaptée et équilibrée, afin de pouvoir satisfaire aux objectifs du programme
d’audit.

52/122
Les auditeurs peuvent utiliser plusieurs procédures d'audit pour recueillir des preuves qui leur permettent de
vérifier la conformité du système de management d'un organisme aux exigences de la norme. L'utilisation de
procédures d'audit réduit le risque d'audit et renforce l'objectivité des auditeurs. Les auditeurs utilisent
généralement une combinaison de procédures de collecte de preuves et d'outils pour créer les plans de tests
d'audit (voir la section sur la création de plans de tests d'audit).
Les auditeurs peuvent utiliser plusieurs procédures et outils d'audit existants pour recueillir systématiquement
des preuves. Les procédures d'audit les plus fréquemment utilisées se répartissent en trois grandes catégories,
comme indiqué sur la diapositive. Néanmoins, la terminologie des procédures peut varier d'un auditeur à l'autre.
Veuillez noter que les catégories ne sont pas mutuellement exclusives. En fait, on s'utilise généralement une
combinaison de procédures pour obtenir des conclusions précises et fiables. Par exemple, les auditeurs peuvent
interroger l'audité pour recueillir des informations sur la manière dont les sauvegardes sont effectuées, mais ils
peuvent également examiner la procédure écrite qui décrit les étapes suivies, ou observer la sauvegarde
effectuée.
Il est à noter que les normes ISO 19011 et ISO/IEC 17021-1 n'indiquent pas de procédures spécifiques à suivre
pour garantir la conformité d'un système de management aux exigences de la norme. Chaque équipe d'audit doit
établir sa propre stratégie de test et ses propres plans de test en fonction des processus ou des mesures à
auditer et des objectifs de l'audit. Le jugement professionnel est important dans l'établissement des stratégies de
test et l'évaluation des preuves d'audit recueillies.

53/122
Note de terminologie:
Le test (d'audit) et la procédure de test (d'audit) sont utilisés comme synonymes pour la procédure de
collecte de preuves.
La stratégie de test (d'audit) fait référence à la stratégie de collecte de preuves.
Le plan de test (d'audit) fait référence au plan de collecte de preuves.
ISO/IEC TS 27008 présente les procédures d'audit selon quatre méthodes : l'analyse des processus, l'examen, la
validation des tests et les techniques d'échantillonnage.

54/122
Entretiennon directif : Entretien qui établit les points principaux à discuter et laisse ensuite la conversation se
dérouler librement. Généralement, il est utilisé avec la direction de l'audité. Les auditeurs devraient s'assurer que
la personne interrogée ne s'écarte pas du sujet principal.
Entretien directif : Interview qui suit un cadre ou une liste de questions spécifiques. Il est à éviter, car les
questions peuvent ne pas être adaptées au contexte particulier de l'audité.
Entretien semi-structuré : Entretien qui permet de centrer les réponses de la personne interrogée autour de
différents thèmes préalablement définis par les auditeurs et placés dans un guide ou une liste de contrôle des
entretiens. L'entretien semi-structuré est utilisé plus fréquemment que les deux précédents. Ce type
d'entretien permet une plus grande fiabilité de l’information recueillie grâce aux possibilités d'interaction entre les
auditeurs et les personnes interrogées.
Les entretiens typiques comprennent :
Direction du site
Représentants de la direction
Responsables de certains services
Personnes responsables de la division SMSI
Autres

55/122
Les entretiens généraux sont généralement menés avec des personnes responsables de tout un service,
comme la comptabilité, les ressources humaines, la conformité, le développement des applications, etc. Ces
entretiens permettent aux auditeurs de comprendre le fonctionnement général d'un processus ou d'un groupe de
processus liés au SMSI. Les auditeurs peuvent ainsi valider l'existence et la conception générale des processus
en place.
Les entretiens détaillés sont généralement menés avec les personnes responsables de processus spécifiques.
Ils permettent aux auditeurs de mieux comprendre les processus mis en œuvre et de déterminer leur
fonctionnement efficace et continu.

56/122
Avantages :
Les auditeurs accordent une plus grande attention à chaque personne interrogée.
Chaque personne interrogée dispose du même temps pour répondre aux questions de l'entretien.
Inconvénients :
Les entretiens individuels prennent plus de temps.
Les personnes interrogées peuvent se sentir davantage sous pression, étant donné qu'elles sont les
seules à répondre aux questions.

57/122
Avantages :
Les entretiens de groupe prennent moins de temps.
Les auditeurs ont la possibilité de comparer les performances des personnes interrogées.
Ils peuvent diviser les personnes interrogées en équipes.
Inconvénients :
Les auditeurs ont moins de temps pour analyser en détail chaque personne interrogée.
Les interviewés dominants peuvent intimider les autres.

58/122
Sauf accord particulier, les entretiens doivent être menés pendant les heures de travail normales et sur le lieu de
travail des personnes interrogées.
Les auditeurs devraient réserver 15 minutes après l'entretien pour compléter les notes d'audit.
Les personnes à interroger doivent être informées à l'avance afin de s'assurer de leur disponibilité. Les rendez-
vous sont généralement pris par le guide (délégué par l'audité).

59/122
Demander des précisions : Il est courant pour la plupart des individus de s'exprimer en termes généraux.
Toutefois, des réponses générales ou peu claires peuvent ne pas permettre à l'auditeur d'obtenir des
connaissances approfondies sur la manière dont un processus ou une pratique est mené. Par conséquent,
afin d'obtenir des réponses précises, les auditeurs doivent préparer des questions spécifiques. En outre,
ils doivent préparer des questions de suivi et des questions adaptées à des situations spécifiques afin
d'éviter les réponses générales.
Veiller à ce que la personne interrogée n'omette aucune information importante : Les personnes
interrogées peuvent parfois omettre des informations importantes si elles n'ont pas bien compris la
question ou si elles craignent de prendre trop de temps ou de parler de sujets non pertinents. Cela peut
être évité en informant la personne interrogée du temps dont elle dispose, en ne se précipitant pas sur les
réactions ou les suivis, en expliquant clairement le contexte et le but de la question, et en prenant d'autres
mesures qui peuvent contribuer à éviter les malentendus.
Faire attention aux hypothèses : Les hypothèses aident les auditeurs à prendre des décisions rapides et
efficaces. En général, les hypothèses peuvent être utiles aux auditeurs, sauf si elles sont incorrectes et
peuvent conduire à des malentendus. Les hypothèses injustifiées se produisent généralement lorsque
l'auditeur traite avec des personnes interrogées qui ont fourni des informations authentiques ou fiables
dans le passé.
Faire attention à la signification des mots : Les auditeurs doivent toujours prêter attention à la
terminologie utilisée. Certains termes peuvent être source de malentendu et de confusion. Les auditeurs
devraient s'assurer que les termes qu'ils utilisent sont parfaitement compris par la personne interrogée.

60/122
Lors de l'ouverture de l'entretien, les auditeurs devraient :
Expliquer les objectifs spécifiques de l'entretien et préciser que l'entretien n'est pas une évaluation de la
personne interrogée
Informer la personne interrogée que la confidentialité sera protégée si elle souhaite rester anonyme
Informer la personne interrogée de l'objectif de la prise de notes
Essayer de faire en sorte que la personne interrogée se sente détendue (surtout si des signes de stress se
manifestent).
Une bonne méthode pour lancer l'entretien consiste à poser une question ouverte qui aidera la personne
interrogée à se détendre. Par exemple, les auditeurs peuvent demander aux personnes interrogées de décrire
leur implication dans le système de management, ainsi que leurs rôles et responsabilités.
Les auditeurs doivent avoir une attitude d'écoute efficace. Ils devraient :
Se concentrer sur l'entretien : Écouter attentivement
Prêter attention au langage non verbal : Faire attention au langage corporel et au ton de la voix
Être impliqué : Utiliser la position du corps, montrer de l'intérêt pour ce que dit la personne interrogée
(non seulement écouter, mais aussi donner un feedback pour montrer que vous comprenez la personne
interrogée), etc.
Veiller à avoir une bonne compréhension de ce que dit la personne interrogée : Reformuler ce qui a
été dit précédemment et demander à la personne interrogée de confirmer

61/122
L’entretien peut être enregistré si la personne l’accepte. Cependant, la pratique la plus commune est simplement
de prendre des notes. L'enregistrement peut être considéré comme intimidant par la personne interrogée et peut
influencer le résultat de l'entretien. De plus, nous avons rarement le temps d'écouter un enregistrement
d'entretien.
Les notes d’entretien devraient contenir les éléments suivants:
Fonction de la personne interrogée (généralement pas de nom – à des fins de confidentialité, sauf pour les
membres de la direction) et date
Exemple: Entretien avec un employé du département des technologies de l'information, 15 février 2020
Objectifs de l'entrevue
Exemple: Valider la conformité des processus de l'organisme aux accords, lois et règlements applicables
Résumé des preuves recueillies
L’information documentée doit être recueillie dans un langage clair, concis et précis. Les auditeurs devraient
identifier les faiblesses et ne considérer que des faits, et non des jugements. Les faiblesses identifiées seront
ensuite signalées dans une liste de non-conformités potentielles. La référence à la norme correspondante doit
également être incluse.

62/122
ISO 19011, Annexe A.17 Conduite des entretiens
Les entretiens sont une source importante de collecte d’informations et il convient de les réaliser en fonction de la
situation et de l’interlocuteur, soit en face à face soit par d’autres moyens de communication. Il convient toutefois
que l’auditeur tienne compte des éléments suivants:
a. il convient d’organiser des entretiens avec des personnes de niveaux et de fonctions appropriés effectuant
des activités ou des tâches comprises dans le champ de l’audit;
b. lorsque cela est possible, il convient de mener les entretiens sur le lieu et pendant les heures de travail
habituels de la personne interrogée;
c. il convient de tout faire pour mettre la personne à l’aise avant et pendant l’entretien;
d. il convient d’expliquer les raisons de l’entretien et de toute prise de notes;
e. les entretiens peuvent débuter en demandant aux personnes de décrire leur travail;
f. il convient de sélectionner attentivement le type de question posée (par exemple questions ouvertes,
fermées, orientées, enquête appréciative);
g. il convient d’avoir conscience de la communication non verbale limitée dans des environnements virtuels; il
convient plutôt de se concentrer sur le type de questions à utiliser pour trouver des preuves objectives;
h. il convient de résumer et passer en revue les résultats de l’entretien avec la personne interrogée;
i. il convient de remercier les personnes interrogées pour leur participation et leur coopération.

63/122
Les questions fermées sont des questions qui requièrent une réponse par oui ou par non :
1. Votre politique de sécurité de l'information a-t-elle été approuvée par la direction générale ?
2. Disposez-vous d'une procédure de mise à jour de vos informations documentées ?
3. Informez-vous votre supérieur lorsque vous détectez une irrégularité ?
Les questions dirigées sont des questions qui présupposent des réponses :
1. Vos employés sont tous au courant de la mise en œuvre du SMSI, n'est-ce pas ?
2. Vous ne respectez pas la procédure de gestion des documents, n'est-ce pas ?
3. Chacun sait que le recours à des consultants pour la mise en œuvre d'un système de management génère
des risques pour l'organisme. Pourquoi avez-vous fait appel à un consultant en tant que responsable de
projet ?

64/122
Il est recommandé de s'assurer que toutes les questions ont reçu une réponse avant de clore l'entretien. Parfois,
les auditeurs peuvent penser qu'il est préférable de revenir aux questions les plus importantes afin de confirmer
les réponses. La meilleure pratique avant de clore l'entretien consiste à résumer brièvement les principales
conclusions de l'entretien.
Une autre bonne pratique consiste à convenir avec la personne interrogée de contacts ultérieurs, le cas échéant.
Les auditeurs devraient demander à la personne interrogée d'ajouter ses commentaires, si elle en a. Les
auditeurs devraient remercier la personne pour son temps et déclarer la clôture de l'entretien.

65/122
Après un entretien, les auditeurs devraient également évaluer leurs performances en se posant des questions
telles que :
Étais-je bien préparé ?
Est-ce que j'ai atteint mes objectifs ?
Comment pourrais-je améliorer mes techniques d'entretien ?

66/122
Suggestions de solutions pour résoudre les problèmes potentiels rencontrés lors des entretiens :
Déclaration inhabituelle ou improbable : Si les personnes interrogées expriment des déclarations
inhabituelles ou peu probables, les auditeurs doivent d'abord s'assurer que les personnes interrogées ont
bien compris la question. Si nécessaire, les auditeurs devraient reformuler la question et exiger des
preuves. Les auditeurs devraient ensuite corroborer les faits avec les guides ou d'autres personnes.
Audité qui veut choisir les personnes à interroger : Si l'audité insiste sur le fait qu'une personne
particulière doit ou non être interrogée, les auditeurs doivent rester courtois mais fermes, en réitérant les
principes d'audit et les conditions de l'accord de certification. Les personnes interrogées doivent être
sélectionnées par les auditeurs.
Interférence des guides : Il y a des cas où les guides répondent au nom des personnes interrogées ou
influencent leur réponse. Les auditeurs doivent rappeler aux guides leur rôle d'observateurs. Si les guides
continuent à interférer, les auditeurs doivent refuser leur présence.
Indisponibilité de la personne interrogée : Une urgence ou une situation qui empêche les personnes
interrogées de respecter le calendrier des entretiens peut survenir. Ainsi, les auditeurs doivent pouvoir
s'adapter à la situation et réajuster leur plan afin de ne pas reporter l'audit. Ils peuvent également profiter
de la situation et observer les personnes interrogées pendant qu'elles accomplissent leurs tâches.
Réponses non pertinentes : Les personnes interrogées peuvent fournir des informations non pertinentes
pendant l'entretien. Il est de la responsabilité des auditeurs de ramener les personnes interrogées au sujet
de discussion afin d'éviter de perdre du temps ou de retarder l'achèvement de l'audit. Cela doit être fait
avec tact afin de ne pas offenser les personnes interrogées. Par exemple, les auditeurs devraient poliment
interrompre la conversation lorsqu'il y a une pause et leur rappeler que le temps alloué à l'entretien est
limité. Une autre façon de procéder consiste à demander des preuves spécifiques ou des explications
pertinentes pour un processus particulier ou à leur montrer la liste des éléments à valider.

67/122
Note : Voir les informations fournies dans la section 11 « Étape 1 de l'audit » (jour 2).

68/122
Les auditeurs doivent être conscients que, malgré leur indépendance, ils observent la réalité avec leur propre
subjectivité. Observer, c'est isoler certains éléments de la réalité et en ignorer d'autres. L'interprétation est
inévitable dans l'observation, et l'objectivité d'une observation dépendra donc de la formation et de l'expérience
des auditeurs.
Pour limiter la subjectivité, les auditeurs peuvent utiliser des listes de contrôle ou des listes
d'observation à titre d'orientation.

69/122
Observation générale : Grâce à l'observation générale, les auditeurs sont en mesure d'atteindre un
niveau de compréhension suffisant concernant le fonctionnement d'un processus ou d'un groupe de
processus liés à un système de management particulier. Ce type d'observation leur permet de valider
l'existence et la conception générale des processus en place.
Observation détaillée : Grâce à une observation détaillée, les auditeurs sont en mesure d'obtenir un
niveau accru de compréhension des processus liés au système de management et de déterminer le
fonctionnement efficace et ininterrompu des processus mis en œuvre.

70/122
Prendre des notes : Lors de l'observation d'un processus, les auditeurs doivent s'assurer de documenter
toutes les informations pertinentes dans une liste de contrôle des observations. Par exemple, noter les
numéros de série des équipements contrôlés, les lieux où certains processus ont lieu, etc.
Photocopier des documents : Au moment de vérifier la conformité d'un document aux critères d'audit, et
si l'audité y consent, les auditeurs peuvent photocopier des parties ou un document entier pour soutenir
leurs conclusions. Dans la plupart des cas, les auditeurs peuvent se limiter à photocopier la table des
matières et le résumé pour soutenir les conclusions ou les notes de l'audit.
Prendre des photos ou des enregistrements audio/vidéo (non souhaité) : Ils sont particulièrement
pratiques lorsqu'il s'agit de documenter des processus ou des procédures liés au management des
installations, à la production ou à la fourniture de services. Toutefois, l'autorisation de l'audité doit être
obtenue avant de prendre des photos. Cela doit généralement faire partie de l'accord pour commencer.
L'audité a le droit de rejeter la demande de l'auditeur de prendre des photos dans les installations de
l'audité. Un refus ne devrait pas influencer négativement les conclusions d'audit.

71/122
L'analyse permet aux auditeurs de tirer des conclusions concernant un ensemble en examinant ses parties. Les
auditeurs ne sont pas intéressés par l'échantillon lui-même, mais par ce qu'ils peuvent en apprendre sur
l'ensemble de la population.
La confiance obtenue des conclusions de l'audit est étroitement liée à la bonne utilisation de
l'échantillonnage au cours des missions d'audit.

72/122
La statistique est la pratique de la production d'informations basées sur des données empiriques quantitatives. Il
s'agit de la collecte, de l'organisation et de l'interprétation de faits numériques, également appelés données.
L'analyse statistique est basée sur une population composée de plusieurs unités dont l'auditeur peut
observer les variables et tirer des échantillons.
Note de terminologie : Certaines bonnes pratiques utilisent le terme «caractéristique» plutôt que «variable».
Ces deux termes sont donc interchangeables dans ce support de formation.

73/122
En statistique, la distribution normale est également connue sous le nom de distribution gaussienne, du nom du
mathématicien allemand Carl Friedrich Gauss (1777-1855). C'est la distribution statistique la plus populaire et, en
même temps, la plus utile, car elle permet aux auditeurs d'expliquer plusieurs phénomènes aléatoires. Elle
représente la distribution d'une variable continue, définie de - l'infini à + l'infini, en fonction de sa densité de
probabilité. La distribution permet aux auditeurs d'énoncer les conclusions d’audit sur une population
donnée en se basant sur l'analyse d'un échantillon.
Ce qu'il faut garder à l'esprit, c'est que la distribution normale d'un grand nombre d'éléments extraits de
manière aléatoire est symétrique autour de la moyenne [μ] et se répartit de manière distribuée en
fonction de la déviation standard [σ]. La déviation standard [σ] d'une distribution est définie comme la racine
carrée de la variance. La variance d'une distribution est la déviation carrée moyenne et, en tant que telle, elle
mesure la dispersion de l'ensemble de données par rapport à la moyenne.
Conformément à la distribution normale, nous constatons que :
68,27% de la population se trouve dans l'intervalle [μ-σ , μ + σ].
95,45% de la population se trouve dans l'intervalle [μ-2σ , μ + 2σ].
99,73% de la population se trouve dans l'intervalle [μ-3σ , μ + 3σ].
Par exemple, après avoir compilé statistiquement tous les tickets d'incident documentés dans la base de
données du Service d'assistance de l'organisme audité, il est établi que le temps de réponse moyen pour un
appel est de 3 heures avec une déviation standard de 30 minutes. Cela signifie que les auditeurs, dans leur
échantillon, devraient constater que :
68,27 % des demandes ont reçu une réponse dans un délai de 2h30 à 3h30 (car σ=1).
95,45% des demandes ont reçu une réponse dans un délai de 02:00 à 04:00 (car σ=2).
99,73 % des demandes ont reçu une réponse dans un délai de 1h30 à 4h30 (car σ=3).

74/122
Voici quelques exemples d'analyses fréquentes effectuées lors d'un audit ISO/IEC 27001 :
Articles 7.2 et 7.3 Compétence et sensibilisation des employés : Vérification d'un échantillon
d'employés afin de déterminer s'ils ont été correctement formés et sensibilisés à leur rôle dans le système
de management de la sécurité de l'information
Annexe A.5.1.1 Diffusion et compréhension de la politique de sécurité de l'information : Vérification
d'un échantillon d'employés afin de déterminer s'ils ont reçu et sont informés de la politique de sécurité de
l'information
Annexe A.6.1.1 Attribution des responsabilités : Vérification d'un échantillon d'employés afin de
déterminer s'ils connaissent leurs rôles et responsabilités en matière de système de management de la
sécurité de l'information
Annexe A.8.1.2 Propriété des actifs : Vérification d'un échantillon de propriétaires d'actifs pour
déterminer s'ils sont conscients de leur responsabilité et du ou des actifs dont ils ont la garde
Annexe A.12.2.1 Mesures contre les logiciels malveillants présents sur les postes de travail :
Vérification d'un échantillon d'ordinateurs pour contrôler la présence de logiciels installés et correctement
configurés qui protègent contre les codes malveillants
Annexe A.9 Mesures liées au contrôle d'accès : Vérification d'un échantillon de demandes de droits
d'accès pour valider si les demandes sont conformes aux procédures en place
Annexe A.16 Mesures de sécurité liées à la gestion des incidents : Vérification d'un échantillon de
rapports d'incidents pour valider si leur traitement est conforme à la procédure de gestion des incidents

75/122
Un échantillon est un ensemble d'unités extraites pour représenter l'ensemble de la population. L'échantillonnage
permet aux auditeurs d'obtenir et d'évaluer les preuves d'audit de manière objective et fiable sur la base des
caractéristiques des données sélectionnées.
L'échantillonnage peut utiliser une approche probabiliste (basée sur le hasard) ou non probabiliste
(basée sur le jugement). La différence entre les deux est que, dans l'échantillonnage probabiliste, chaque
élément a une chance d'être sélectionné, et cette chance peut être quantifiée.
Échantillonnage adéquat :
Comme il n'existe pas de formule statistique pour établir le nombre exact d'échantillons à prélever lors de l'audit,
un échantillonnage adéquat dépendra de différents facteurs. Plus les auditeurs prélèvent d'échantillons, plus la
confiance dans les résultats de l'audit est grande. Cependant, les auditeurs n'auront pas toujours assez de temps
dans leur emploi du temps pour collecter et analyser un grand nombre d'échantillons. Dans ce cas, les auditeurs
choisiront un «échantillonnage adéquat». Par «échantillonnage adéquat», on entend un niveau d'échantillonnage
pris au cours des activités sur site qui donne une confiance suffisante dans la conformité du SMSI de l'audité aux
exigences de la norme ISO/IEC 27001. Le nombre d'échantillons prélevés dépendra de la complexité des
processus audités et de la qualité des informations. En tenant compte de tous ces éléments, les auditeurs
doivent s'assurer que les échantillons et les preuves objectives recueillis et analysés sont représentatifs de la
population afin de parvenir à des conclusions valides et fiables.

76/122
ISO 19011, AnnexeA.6.1 Généralités
L’échantillonnage pour audit est réalisé lorsqu’il n’est pas possible ou se révèle trop onéreux d’examiner toutes
les informations disponibles pendant l’audit, par exemple quand les enregistrements sont trop nombreux ou trop
dispersés géographiquement pour justifier l’examen de chaque élément dans la population. L’échantillonnage
pour audit d’une population importante consiste à sélectionner moins de 100 % des éléments dans l’ensemble
total des données disponibles (la population) afin d’obtenir et d’évaluer des preuves de certaines caractéristiques
de la population considérée et de pouvoir formuler des conclusions concernant cette population.
L’échantillonnage pour audit a pour objectif de fournir des informations permettant à l’auditeur d’avoir confiance
dans le fait que les objectifs de l’audit peuvent être ou seront atteints.
Le risque lié à l’échantillonnage réside dans le fait que les échantillons peuvent ne pas être représentatifs de la
population dans laquelle ils sont prélevés. Par conséquent, les conclusions de l’auditeur peuvent être faussées et
s’écarter des résultats qui seraient obtenus si toute la population était examinée. D’autres risques peuvent exister
en fonction de la variabilité de la population à échantillonner et de la méthode choisie.
En règle générale, l’échantillonnage pour audit implique les étapes suivantes:
a. déterminer les objectifs de l’échantillonnage;
b. déterminer l’étendue et la composition de la population à échantillonner;
c. choisir une méthode d’échantillonnage;
d. déterminer la taille de l’échantillon à prélever;
e. réaliser l’activité d’échantillonnage;
f. compiler, évaluer, consigner dans un rapport et documenter les résultats.
Il convient que l’échantillonnage tienne compte de la qualité des données disponibles, dans la mesure où
échantillonner des données insuffisantes et inexactes ne produit pas un résultat utile et exploitable. Il convient de
choisir un échantillon approprié en fonction de la méthode d’échantillonnage et du type de données requises, par
exemple pour établir un type de comportement particulier ou déduire des inférences dans une population.
Le rapport sur l’échantillon choisi peut tenir compte de la taille de l’échantillon, de la méthode de sélection ainsi
que des estimations faites sur la base de l’échantillon et du niveau de confiance.

77/122
Les audits peuvent utiliser soit l’échantillonnage fondé sur le jugement, soit l’échantillonnage fondé sur les
statistiques. (Plus d'explications sont fournies dans les diapositives suivantes.)

78/122
La sélection d'une méthode d'échantillonnage doit être faite en fonction des caractéristiques de la population à
analyser. L'auditeur peut utiliser plusieurs approches d'échantillonnage. Voici certaines des méthodes les plus
fréquemment utilisées:
1.Échantillonnage au hasard
Description : L'échantillonnage au hasard est une technique de sélection d'un sous-ensemble de la
population où chaque élément a la même probabilité d'être sélectionné.
Avantages : C'est la méthode la plus fiable statistiquement. Il est possible de calculer la probabilité
d'inclusion de chaque élément dans un échantillon, ainsi que d'estimer les marges d'erreur.
Inconvénients : Elle est plus complexe et généralement plus longue à mettre en œuvre que les autres
méthodes.
Utilisation : Il est préférable d'utiliser cette méthode lorsque les éléments de la population sont inclus
dans un système. L'auditeur doit d'abord dresser une liste de tous les éléments inclus dans la population,
puis sélectionner un échantillon aléatoire en fonction de la taille de la population. Pour choisir les éléments,
on peut utiliser un logiciel d'analyse statistique (par exemple, SPSS ou la fonction de sélection aléatoire de
Microsoft Excel), ou simplement recourir à des échantillons choisis au hasard.
Exemple d'utilisation : Analyse de tickets d'événements de sécurité tirés de la base de données du
service d'assistance

79/122
2.Échantillonnage systématique (ou échantillonnage par intervalles)
Description : L'échantillonnage systématique est une technique de sélection d'un échantillon dans une
population dont la probabilité de sélection est connue – en utilisant un intervalle défini entre chaque
élément.
Avantages : Cette méthode est statistiquement fiable, simple à utiliser et plus rapide à mettre en œuvre
que les autres méthodes.
Inconvénients : Selon les caractéristiques de la population à analyser, cette méthode peut nécessiter plus
de temps que les autres méthodes non probabilistes.
Utilisation : C'est la méthode la plus fréquemment utilisée dans un audit en raison de sa facilité
d'utilisation et de sa simplicité, tout en étant statistiquement fiable. Elle est normalement utilisée à partir
d'un tableau d'échantillonnage prédéfini.
Exemple d'utilisation : Voir la diapositive sur l'exemple d'échantillonnage systématique
3.Échantillonnage stratifié (par niveau)
Description : L'échantillonnage stratifié est une méthode qui consiste à subdiviser la population en
groupes homogènes (niveaux), puis à extraire un échantillon de chaque niveau.
Avantages : L'échantillonnage stratifié donne l'assurance d'obtenir un échantillon de taille suffisante pour
représenter chaque sous-ensemble de la population dont l'auditeur veut analyser les caractéristiques.
Inconvénients : Cette méthode suppose la connaissance de la structure de la population et peut conduire
à des biais méthodologiques.
Utilisation : L'auditeur doit utiliser cette méthode si la population contient des sous-ensembles de
caractéristiques diverses. Lors de l'utilisation de l'échantillonnage stratifié, la population est divisée en
groupes homogènes, appelés strates (niveaux) qui s'excluent mutuellement. Ensuite, des échantillons
indépendants sont sélectionnés dans chaque strate. Toute méthode d'échantillonnage mentionnée dans
cette section (ou d'autres) peut être utilisée pour sélectionner l'échantillon à l'intérieur de chaque strate.
Exemple d'utilisation : Un organisme compte 170 serveurs, dont 60 sont classés comme critiques et 10
comme très critiques. L'auditeur divise la population de serveurs en trois sous-ensembles : très critique,
critique et non critique. Ensuite, sur la base d'un tableau d'échantillonnage, l'auditeur sélectionne un
échantillon contenant 2 serveurs considérés comme très critiques, 15 critiques et 25 non critiques.

80/122
4.Échantillonnage par sélection en bloc
Description : L'échantillonnage par sélection en bloc est une méthode de sélection d'un échantillon à
partir d'un sous-ensemble de la population.
Avantages : Cette méthode évite d'avoir à identifier l'ensemble des éléments de la population.
Inconvénients : Cette méthode assume que le bloc sélectionné est représentatif de la population entière.
Utilisation : Il est préférable d'utiliser cette méthode lorsque l'identification de l'ensemble des éléments de
la population est difficile à déterminer et à comptabiliser.
Exemple d'utilisation : Un organisme de 1700 employés utilise un code de couleur pour identifier les
types de câblage utilisés. Voyant qu'il est presque impossible de calculer exactement la population de
câbles, l'auditeur décide arbitrairement de sélectionner un échantillon de câbles dans une salle de
serveurs.
5.Échantillonnage fondé sur le jugement
Description : L'échantillonnage fondé sur le jugement est une méthode de sélection d'échantillons basée
sur le jugement de l'auditeur (expérience et connaissances) pour identifier directement les unités qui
représentent adéquatement la population.
Avantages : Cette méthode est simple et moins longue et permet de sélectionner directement dans la
population les éléments qui pourraient représenter des risques de non-conformité. Les auditeurs qui
utilisent cet échantillon doivent avoir le niveau d'expérience approprié et être compétents à cet égard.
Inconvénients : Il est impossible d'évaluer objectivement dans quelle mesure l'échantillon est
représentatif de la population auditée.
Utilisation : L'auditeur estime que les éléments sélectionnés sont représentatifs de la population. Cette
méthode peut également être utilisée pour sélectionner des éléments identifiés comme matériels ou qui
présentent un plus grand risque de non-conformité.
Exemple d'utilisation : Sur la base de l'expérience, un auditeur observe que les représentants
commerciaux et les membres de la direction sont ceux qui activent les fonctions de sécurité sur leurs
smartphones (p. ex., iPhone, BlackBerry). Par conséquent, l'auditeur peut être amené à sélectionner ces
personnes car, ce faisant, il a une plus grande probabilité de détecter une non-conformité.

81/122
ISO 19011, Annexe A.6.2 Échantillonnage fondé sur le jugement
L’échantillonnage fondé sur le jugement dépend de la compétence et de l’expérience de l’équipe d’audit.
Pour l’échantillonnage fondé sur le jugement, les éléments suivants peuvent être pris en compte:
a. l’expérience d’audits précédents dans le cadre du champ de l’audit;
b. la complexité des exigences (y compris les exigences légales et réglementaires) pour réaliser les objectifs
de l’audit;
c. la complexité et l’interaction des processus de l’organisme et des éléments du système de management;
d. l’évolution de la technologie, des facteurs humains ou du système de management;
e. les risques importants et les opportunités d’amélioration précédemment identifiés;
f. les données de sortie issues de la surveillance des systèmes de management.
L’inconvénient de l’échantillonnage fondé sur le jugement est qu’il peut ne pas exister d’estimation statistique de
l’effet de l’incertitude dans les constatations et les conclusions de l’audit.

82/122
ISO 19011, Annexe A.6.3 Échantillonnage fondé sur les statistiques (suite)
L’échantillonnage fondé sur les statistiques utilise un processus de sélection d’échantillons fondé sur une théorie
probabiliste. Un échantillonnage par attributs est utilisé lorsqu’il n’existe que deux résultats possibles pour chaque
échantillon (par exemple correct/incorrect ou réussite/échec). Un échantillonnage par variables est utilisé lorsque
les résultats d’échantillon se situent dans un intervalle continu.
Il convient que le plan d’échantillonnage détermine si les résultats examinés sont susceptibles d’être obtenus par
attributs ou par variables. Par exemple, une approche par attributs pourrait être appliquée pour l’évaluation de la
conformité des formulaires complétés conformément aux exigences définies dans une procédure. Une approche
par variables serait vraisemblablement plus appropriée pour examiner l’occurrence d’incidents en matière de
sécurité des denrées alimentaires ou le nombre d’infractions à la sûreté.
Lors de l’élaboration d’un plan d’échantillonnage fondé sur les statistiques, le niveau de risque d’échantillonnage
que l’auditeur consent à accepter constitue un élément important à prendre en compte. Il est souvent désigné
comme le niveau de confiance acceptable. Par exemple, un risque d’échantillonnage de 5 % correspond à un
niveau de confiance acceptable de 95 %. Un risque d’échantillonnage de 5 % signifie que l’auditeur consent à
accepter le risque que 5 échantillons sur 100 (ou 1 sur 20) parmi les échantillons examinés ne reflètent pas les
valeurs réelles qui seraient observées si la population entière était examinée.
Lorsque les auditeurs utilisent un échantillonnage fondé sur les statistiques, il convient qu’ils documentent les
tâches exécutées de manière appropriée. Il convient que cette procédure comprenne une description de la
population qui était destinée à être échantillonnée, les critères d’échantillonnage utilisés pour l’évaluation (par
exemple ce qui constitue un échantillon acceptable), les paramètres et les méthodes statistiques utilisés, le
nombre d’échantillons évalués et les résultats obtenus.

83/122
Lors de l'élaboration d'un plan d'échantillonnage statistique, les auditeurs devraient considérer le niveau de
risque d'échantillonnage qu'ils sont prêts à accepter.
Lors de l'utilisation de l'échantillonnage statistique, les auditeurs devraient documenter correctement le travail
effectué. Cela inclut :
Une description de la population qui devait être échantillonnée
Critères d'échantillonnage utilisés pour l'évaluation
Paramètres et méthodes statistiques utilisés
Description et nombre d'échantillons examinés
Description des résultats obtenus

84/122
L'auditeur crée le plan d'échantillonnage et choisit la méthode de collecte d'informations, tandis que le personnel
de l'audité recueille les informations à partir des systèmes d'information.
Exemple:
1. Définir la population : Toutes les modifications des procédures ou des mesures du SMSI effectuées au
cours des six derniers mois (pour un total de 250 demandes) font partie de la population.
2. Déterminer la méthode d'échantillonnage : La méthode d'échantillonnage au hasard systématique est
choisie.
3. Déterminer la taille de l'échantillon : Selon les règles d'échantillonnage, la taille de l'échantillon est de
15.
4. Mettre en œuvre le plan d'échantillonnage : En commençant la sélection au hasard avec le cinquième
changement, l'auditeur sélectionne le reste de l'échantillon à chaque 16 changements (250/15=16).
5. Évaluer les résultats : L'auditeur enregistre les résultats des tests des procédures ou des mesures du
SMSI sur une feuille de travail et évalue si les modifications de l'échantillon ont été correctement
approuvées par le propriétaire. En fin de compte, l'auditeur documente sur une feuille de travail les
conclusions concernant le test des procédures ou des mesures du SMSI.
L'échantillonnage est souvent effectué à l'aide de techniques d'audit assistées par ordinateur (TAAO). Cela
permet la sélection au hasard et l'analyse d'un échantillon.

85/122
1.Risques ou erreurs liés à l'échantillonnage : Une erreur peut se produire lorsque les données sont
collectées sur une partie de la population qui n'est pas représentative de l'ensemble de la population. Il s'agit de
la différence entre l'estimation calculée à partir d'une collecte de données et la valeur «réelle» qui serait obtenue
si toute la population était soumise à une analyse. Si la totalité de la population (100 % de la population) est
soumise à l'analyse, il n'y a pas d'erreur d'échantillonnage puisque les calculs sont basés sur la totalité de la
population. En général, l'erreur d'échantillonnage diminue à mesure que la taille de l'échantillon augmente.
Exemple: Dans une organisation de 125 employés, l'auditeur examine les dossiers de 15 employés pour
confirmer s'ils ont assisté à la séance de sensibilisation obligatoire requise pour tous les nouveaux employés
(selon les exigences de la norme ISO/IEC 27001). Bien que l'analyse des dossiers de 15 employés permette à
l'auditeur de déterminer s'il existe une assurance raisonnable que l'exigence a été mise en œuvre, il existe
toujours un risque d'erreur. Il n'est pas garanti que les 110 autres employés aient participé à la session. La seule
façon d'avoir une assurance à 100% serait de valider les 125 dossiers.
2.Risques ou erreurs liés à l'auditeur : Il s'agit d’erreurs causées par des facteurs autres que l'échantillonnage.
Ces erreurs peuvent résulter d'une procédure d'audit inappropriée ou de la négligence de l'auditeur.
Exemples :
L'auditeur sélectionne les premiers éléments de l'année (ou d'une liste) plutôt que de sélectionner un
échantillon de la population entière en utilisant une méthode aléatoire ou systématique.
L'auditeur utilise des réponses par procuration (en tenant compte des réponses d'une personne autre que
le répondant).

86/122
Le tableau d'échantillonnage ci-dessus présente la méthode d'échantillonnage la plus fréquemment utilisée. Les
grands cabinets d'audit, en particulier, l'utilisent pour déterminer l'échantillon minimum requis lors d'un audit,
puis, sur la base des résultats, pour valider si leur organisme est conforme à une certaine exigence. Ce tableau
est basé sur une marge d'erreur de 4 à 6 %. Il est acceptable (par rapport à l'utilisation d'un logiciel de
statistiques) d'indiquer la taille exacte de l'échantillon en fonction de la population à auditer et la marge d'erreur
acceptable.
Les processus automatisés ne nécessitent généralement aucun échantillonnage. Il vous suffit de valider leur bon
fonctionnement. En revanche, pour tous les processus manuels, le taux d'occurrence auquel un processus
fonctionne déterminera la taille de l'échantillon.
Malgré ces principes généraux, il faut noter que, plus un processus est important, plus la taille de l'échantillon
doit être importante afin d'obtenir le niveau d'assurance souhaité.
Exemples d'utilisation du tableau :
1. Copies de sauvegarde effectuées le matin et le soir Échantillon de 25
2. Une procédure de mise à jour du système effectuée deux fois par semaine Échantillon de 15
3. Département avec 70 employés Échantillon de 15
4. Population informatique avec 8 ordinateurs Échantillon de 2

87/122
Les étapes énumérées ci-dessous doivent être suivies pour sélectionner un échantillon systématique :
1.Définir la population : Les auditeurs doivent d'abord définir les caractéristiques de la population qu'ils
souhaitent analyser, puis s'assurer qu'ils ont identifié tous les éléments composant la population. Finalement, les
auditeurs numérotent les éléments de un à N (N étant la taille de la population totale).
Exemple: Un auditeur souhaite analyser les demandes de modification faites au cours de l'année écoulée. Pour
effectuer cette analyse, l'auditeur utilise une liste de 400 demandes de modification qui ont été analysées par le
comité de gestion du changement de l'organisme audité. Compte tenu du fait que l'auditeur n'est pas certain que
toutes les demandes de modification ont été documentées dans la liste remise par le comité, l'auditeur inscrit une
note dans ses documents de travail. Ensuite, l'auditeur saisit les chiffres de 1 à 400 dans une feuille de travail.
2.Déterminer la taille de l'échantillon : L’auditeur définit un intervalle d'échantillonnage (K) en divisant le
nombre d'éléments contenus dans la population par la taille de l'échantillon souhaité.
Exemple: Étant donné qu'il y a 400 demandes de modification, la fréquence moyenne est de plus d'une fois par
jour. Ainsi, un auditeur sélectionnera un échantillon de 25 demandes de modification. En divisant 400 par 25, on
obtient un intervalle de 16.
3.Mettre en œuvre le plan d'échantillonnage : L’auditeur doit sélectionner un nombre aléatoire compris entre 1
et K comme premier élément de l'échantillon (X), c'est-à-dire inclure une valeur aléatoire pour éviter que l'audité
ne puisse anticiper les éléments qui seront sélectionnés. Finalement, l’auditeur sélectionne chaque Xe élément
après le premier élément sélectionné jusqu'à N (taille de l'échantillon).
Exemple: Un auditeur a obtenu le numéro 5 au hasard lors de la sélection d'un numéro entre 1 et 16. Il
sélectionne alors la 5e demande de modification, la 21e, la 37e, etc.

88/122
Exercice11: Processus d'échantillonnage d'audit
Vous devez vérifier si BankIT se conforme à la mesure A.7.1.1 Sélection des candidats de l'Annexe A d'ISO/IEC
27001. Étant donné que l'organisme compte un total de 170 employés, vous décidez d'utiliser l'échantillonnage
comme procédure d'audit.
Définissez la population cible, l'échantillon et la taille de l'échantillon. En outre, choisissez la méthode
d'échantillonnage et justifiez votre décision. Expliquez brièvement comment vous mèneriez le processus
d'échantillonnage.

89/122
90/122
Lors de l'audit d'un système de management, les techniques d'audit assistées par ordinateur (TAAO ou CAAT)
sont rarement utilisées. Toutefois, l'auditeur lira, interprétera et validera les tests qui ont été effectués par le
personnel interne de l'audité ou par des tiers.
Le langage de commande d'audit (ACL – Audit Command Language) est un logiciel largement utilisé par les
organismes pour extraire et analyser les données de toute une population de données.
Les TAAO comprennent plusieurs types d'outils et de techniques, tels que :
1. Logiciel d'audit : Il s'agit d'un programme conçu pour exécuter certaines fonctions automatiques. Ces
fonctions comprennent la lecture de fichiers informatiques, la sélection d'échantillons, le tri des données, la
réalisation de calculs, l'impression de rapports ou de lettres dans un format spécifié par l'auditeur, etc.
2. Logiciel utilitaire : Il s'agit d'un programme généralement fourni par le fabricant pour remplir certaines
fonctions liées aux opérations, telles que la revue des activités, processus, essais, le soutien à la
résolution de problèmes et l'analyse des enregistrements du système.
3. Test de données : Il s'agit d'une simulation de transactions qui peut être utilisée pour valider la logique
des opérations, des calculs et des contrôles programmés dans les applications logicielles. Des
programmes individuels ou l'ensemble du système peuvent être testés.
4. Applications logicielles de traçage et de cartographie : Il s'agit d'outils spécialisés qui peuvent être
utilisés pour analyser le flux de données dans la logique de traitement des applications logicielles et pour
documenter la logique, les chemins, les conditions de contrôle et les ordres de traitement des applications.
5. Systèmes experts en audit : Il s'agit d'une technique qui comprend l'aide à la décision ou les systèmes
experts. Grâce à l'automatisation des connaissances des experts dans ce domaine, ces systèmes peuvent
être utilisés pour aider les auditeurs dans le processus d'aide à la décision. Ce type d'application
comprend généralement un système automatisé d'analyse des risques et d'aide à la décision qui guidera
les auditeurs tout au long de l'audit.

91/122
ISO/IEC TS 27008, article 7.4.1 Généralités
Les techniques de test et de validation sont une forme de méthode de revue qui consiste à exercer un ou
plusieurs objets de revue dans des conditions spécifiées pour comparer le comportement réel avec le
comportement attendu. Les résultats sont utilisés pour déterminer l'existence, l'efficacité, la fonctionnalité,
l'exactitude, l'exhaustivité et le potentiel d'amélioration du contrôle au fil du temps.
Les tests doivent être effectués avec le plus grand soin par des experts compétents. Les effets possibles sur le
fonctionnement de l'organisme doivent être examinés et approuvés par la direction avant de commencer les tests,
et il convient également d'envisager la possibilité d'effectuer les tests en dehors des fenêtres de maintenance,
dans des conditions de faible charge ou même dans des environnements de test bien reproduits. Les défaillances
ou l'indisponibilité des systèmes en raison des tests peuvent avoir un impact important sur les opérations
commerciales normales de l'organisme. Cela peut à la fois entraîner des conséquences financières et avoir un
impact sur la réputation de l'organisme. Il convient donc d'apporter un soin particulier à la planification des tests et
à leur contractualisation correcte (y compris la prise en compte des aspects juridiques).
Les résultats faussement positifs et faussement négatifs des tests doivent être soigneusement examinés par
l'auditeur de la sécurité de l'information avant de tirer toute conclusion.
Les objets de revue typiques comprennent les mécanismes (p. ex., matériel informatique, logiciels,
microprogrammes) et les processus (p. ex., les opérations, l'administration, la gestion du système; les exercices).
Les actions typiques d'un auditeur de sécurité de l'information peuvent inclure:
tester les mécanismes de contrôle d'accès, d'identification, d'authentification et de revue;
tester les paramètres de configuration de la sécurité;
tester le dispositif de contrôle d'accès physique;
réaliser des tests d’intrusion des composants clés du système d'information;
tester les opérations de sauvegarde du système d'information;
tester la capacité de réponse aux incidents;
tester la capacité de plan d'urgence;
tester la réponse des systèmes de sécurité capables de détecter, d'alerter et de réagir aux intrusions;
tester les algorithmes de mécanisme de cryptage et de hachage;
tester les mécanismes de gestion des identités et des privilèges des utilisateurs;
92/122
tester les mécanismes d'autorisation;
vérifier la résilience en cascade des mesures de sécurité;
valider la surveillance et la journalisation;
valider les aspects de sécurité dans le développement ou l'acquisition d'applications.
ISO/IEC TS 27008, article 7.4.2 Test à l'aveugle
L'auditeur de la sécurité de l'information aborde l'objet de la revue sans connaissance préalable de ses
caractéristiques autres que les informations accessibles au public. L'objet de la revue est préparé pour la revue,
en connaissant à l'avance tous les détails de la revue. Un test à l'aveugle teste principalement les compétences
de l'auditeur de la sécurité de l'information. L'ampleur et la profondeur d'un test à l'aveugle seront aussi vastes
que le permettent les connaissances applicables et l'efficacité de l'auditeur de la sécurité de l'information. Ainsi,
ces tests sont d'une utilité limitée dans les revues de sécurité et devraient être évités.
ISO/IEC TS 27008, article 7.4.3 Test à l’aveugle double
L'auditeur de la sécurité de l'information aborde l'objet de la revue sans connaissance préalable de ses
caractéristiques autres que les informations accessibles au public. L'objet de la revue n'est pas notifié à l'avance
du périmètre de la revue ou des vecteurs de test utilisés. Un test à l’aveugle double teste l'état de préparation de
l'objet de revue aux variables inconnues.

93/122
ISO/IEC 27008, article 7.4.4 Test en boîte grise
L'auditeur de la sécurité de l'information aborde l'objet de la revue avec une connaissance limitée de ses moyens
de défense et de ses actifs, mais en toute connaissance des vecteurs de test disponibles. L'objet de la revue est
préparé pour la revue, en connaissant à l'avance tous les détails de la revue. Un test en boîte grise permet de
tester les compétences de l'auditeur de la sécurité de l'information. L’essence du test est l'efficacité. L'ampleur et
la profondeur dépendent de la qualité des informations fournies à l'auditeur de sécurité de l'information avant le
test, ainsi que des connaissances applicables de l'auditeur de sécurité de l'information. Ainsi, ces tests sont d'une
utilité limitée dans les revues de sécurité et devraient être évités. Ce type de test, souvent appelé «test de
vulnérabilité», est le plus souvent initié par la cible sous la forme d'une activité d'auto-évaluation.
ISO/IEC TS 27008, article 7.4.5 Test en boîte grise double
L'auditeur de la sécurité de l'information aborde l'objet de la revue avec une connaissance limitée de ses moyens
de défense et de ses actifs, mais en toute connaissance des vecteurs de test disponibles. L'objet de la revue est
informé à l'avance du périmètre et du calendrier de la revue, mais pas des vecteurs de test. Un test en boîte grise
double permet de tester l'état de préparation de la cible face à des variables inconnues. L'ampleur et la
profondeur dépendent de la qualité des informations fournies à l'auditeur de sécurité de l'information et de l'objet
de la revue avant le test ainsi que des connaissances applicables de l'auditeur de sécurité de l'information.
ISO/IEC TS 27008, article 7.4.6 Test en tandem
L'auditeur de la sécurité de l'information et l'objet de la revue sont préparés pour la revue, tous deux connaissant
à l'avance tous les détails de la revue. Un test en tandem permet de tester la protection et les contrôles de la
cible. Cependant, il ne peut pas tester l'état de préparation de la cible à des variables inconnues.
La véritable essence du test est la rigueur, car l'auditeur de la sécurité de l'information a une vue complète de
tous les tests et de leurs réponses. L'ampleur et la profondeur dépendent de la qualité des informations fournies à
l'auditeur de sécurité de l'information avant le test, ainsi que des connaissances applicables de l'auditeur de
sécurité de l'information. Il s'agit souvent d'un examen interne et l'auditeur de la sécurité de l'information joue
souvent un rôle actif dans le processus global de sécurité.
ISO/IEC TS 27008, article 7.4.7 Inversion

94/122
L'auditeur de la sécurité de l'information aborde l'objet de la revue en toute connaissance de ses processus et de
sa sécurité opérationnelle, mais l'objet de la revue ne sait rien de ce que l'auditeur de la sécurité de l'information
va tester, ni comment, ni quand. La véritable essence de ce test consiste à examiner l'état de préparation de la
cible face à des variables et des vecteurs d'agitation inconnus. L'ampleur et la profondeur dépendent de la qualité
des informations fournies à l'auditeur de la sécurité de l'information et des connaissances et de la créativité de ce
dernier. C'est ce qu'on appelle souvent un exercice de l'Équipe rouge.

95/122
Lors de l'analyse des défauts et des écarts identifiés, il est possible pour l'auditeur d'observer les caractéristiques
communes de ces défauts (le type d'opération, le site, la personne responsable du processus, etc.) qui peuvent
indiquer une possible non-conformité. Dans ces cas, l'auditeur peut décider de rechercher des éléments qui
partagent les mêmes caractéristiques, d'étendre les procédures d'audit à tous ces éléments et d'effectuer
d'autres types de tests pour confirmer l'observation initiale.
L'auditeur devrait toujours essayer de corroborer les preuves qui reposent uniquement sur des entretiens, en
particulier si les éléments sont considérés comme importants dans le contexte de l'audité.
Exemple:
Lors de l'audit, pour déterminer si la politique de sécurité de l'information est établie, mise en œuvre et
communiquée à tous les employés concernés de l'audité, l'auditeur les interroge. Ensuite, l'auditeur vérifie ces
informations pour obtenir un niveau raisonnable d'assurance que l'audité se conforme à une exigence spécifique
de la norme ISO/IEC 27001. Il peut choisir différents moyens :
1. Vérifier les enregistrements de formation des nouveaux employés pour s'assurer que les formations
couvrent la politique de sécurité de l'information, et analyser les réponses fournies par les employés lors
des entretiens pour s'assurer qu'ils ont bien compris la politique de sécurité de l'information
2. Comprendre les connaissances des employés actuels concernant la politique de sécurité de l'information
et son contenu général
3. Déterminer que la politique a été mise à la disposition de toutes les parties concernées en examinant les
journaux de communication externe

96/122
L'évaluation est une procédure plus subjective qui repose essentiellement sur l'expérience de l'auditeur. Au cours
de la procédure d'évaluation, l'auditeur doit tenir compte de l’importance relative des informations pour
déterminer si les preuves sont suffisantes, pertinentes et fiables.

97/122
L'audit virtuel présente certains avantages :
L'accessibilité aux données est améliorée.
L'espace de stockage physique est réduit.
La probabilité de perte de données est réduite au minimum.
La vitesse d'accès aux données est augmentée.
Les problèmes associés à l'audit virtuel sont les suivants :
La revue du processus d'audit est difficile.
La capacité de stockage est limitée.
Des sessions de formation sur le développement de logiciels sont nécessaires.

98/122
ISO 19011, Annexe A.16 Audit d’activités et lieux virtuels (suite)
Il convient que la compétence des auditeurs comprenne:
des compétences techniques pour utiliser l’équipement électronique approprié et d’autres technologies lors
de l’audit;
une expérience dans l’animation de réunions virtuelles afin de mener l’audit à distance.
Lorsque l’auditeur réalise la réunion d’ouverture ou l’audit de façon virtuelle, il convient qu’il tienne compte des
éléments suivants:
les risques associés aux audits virtuels ou à distance;
l’utilisation de plans/schémas des sites à distance à titre de référence ou pour cartographier des
informations électroniques;
faciliter la prévention des perturbations dues au bruit de fond et des interruptions;
demander au préalable l’autorisation de faire des captures d’écran des documents ou de tout type
d’enregistrements, et tenir compte des questions de confidentialité et de sécurité;
assurer la confidentialité et le respect de la vie privée pendant les pauses lors de l’audit, par exemple en
coupant les microphones, en arrêtant les caméras.

99/122
Questions de discussion :
1. Quelles sont les étapes d'un processus d'audit ?
2. Comment les procédures d'audit sont-elles réparties ?
3. Discutez de l'importance des entretiens dans le cadre d'un audit.
4. Comment les auditeurs peuvent-ils être objectifs pendant l'observation ?
5. Quand les auditeurs peuvent-ils utiliser l'échantillonnage ?
6. Pourquoi les auditeurs devraient-ils corroborer les informations recueillies ?
7. Comment les constatations des audits sont-elles générées ?

100/122
1. Pour assurer la pertinence d'une procédure d'audit, l'auditeur doit collecter des preuves provenant de
différentes sources d'information et les évaluer objectivement.
2. Grâce à un entretien détaillé, les auditeurs obtiennent des informations détaillées qui les aident à évaluer
et à déterminer si les mesures mises en œuvre fonctionnent efficacement, de manière continue, et sont
exemptes d'erreurs.
3. Par le biais d'un entretien général, les auditeurs valident les aspects stratégiques et tactiques d'un
organisme, ainsi que le type de processus et leur fonctionnement.
4. Grâce aux entretiens individuels, il est possible de se concentrer sur une seule personne et généralement
d’obtenir des informations plus détaillées sur le SMSI.
5. Dans le cas où un entretien de groupe est nécessaire, deux auditeurs doivent être présents et le nombre
de participants ne doit pas dépasser cinq personnes.
6. Les auditeurs doivent utiliser des questions ouvertes et éviter les questions fermées et dirigées.
7. Il est recommandé de s'assurer que toutes les questions ont reçu une réponse avant de clore l'entretien.
8. L'objectivité et l'impartialité de l'auditeur dépendent de son expérience, de sa formation, de son jugement
professionnel et de son scepticisme.
9. Les auditeurs utilisent l'échantillonnage d'audit lorsqu'il n'est ni pratique ni rentable d'examiner l'ensemble
de la population pendant l'audit.

101/122
Cette section donne quelques recommandations générales que les auditeurs devraient prendre en compte lors
de la création de plans de tests d'audit ; en outre, divers exemples de plans de tests d'audit appliqués au
contexte de la norme ISO/IEC 27001 sont présentés.

102/122
Au cas où un auditeur se rendrait plusieurs fois chez la même entité, les plans de test d'audit devraient être
modifiés. Cela permet à l'auditeur de confirmer les tests d'audit effectués lors des audits précédents.

103/122
104/122
105/122
106/122
107/122
108/122
109/122
110/122
111/122
ISO/IEC 27007, Tableau A.2, A.1.3 Détermination du domaine d'application du système de management de
la sécurité de l'information (ISO/IEC 27001:2013, 4.3) (suite)
Guide de pratiques d'audit
Il convient que les auditeurs vérifient que la compréhension par l'organisation de son contexte (ISO/IEC
27001:2013, 4.1) et des exigences des parties intéressées (ISO/IEC 27001:2013, 4.2) ainsi que les interfaces et
les dépendances entre les activités réalisées par l'organisation et celles qui sont réalisées par d'autres
organisations [ISO/IEC 27001:2013, 4.3 c)], ont été correctement prises en compte lors de l'établissement du
domaine d’application du SMSI.
Il convient en outre que les auditeurs confirment que l'appréciation et le traitement des risques de sécurité de
l'information de l'organisation reflètent correctement ses activités et s'étendent aux limites de ses activités telles
que définies dans le domaine d'application du SMSI, dans la mesure où cela s'applique au domaine d'application
de l'audit. Il convient que les auditeurs vérifient qu'il existe au moins une Déclaration d'applicabilité par domaine
d'application et que toutes les mesures déterminées dans le cadre du processus de gestion des risques sont
incluses dans la ou les déclarations d'applicabilité. Ces mesures sont les mesures nécessaires mentionnées dans
la norme ISO/IEC 27001:2013, 6.1.3 b) et ne sont pas nécessairement des mesures de l'Annexe A de la norme
ISO/IEC 27001:2013. Elles peuvent inclure des mesures spécifiques à un secteur et des mesures conçues par
l'organisation ou identifiées à partir de n'importe quelle source.
Il convient également que les auditeurs confirment que les interfaces avec les services ou les activités qui ne sont
pas complètement dans le domaine d'application du SMSI sont traitées dans le SMSI soumis à l'audit et sont
incluses dans l'appréciation des risques pour la sécurité de l'information de l'organisation. Un exemple d'une telle
situation est le partage des installations (p. ex., les systèmes informatiques, les bases de données et les
systèmes de télécommunication ou l'externalisation d'une fonction métier) avec d'autres organisations.
Il convient de vérifier que la documentation du domaine d'application est créée et contrôlée conformément aux
exigences relatives aux informations documentées (ISO/IEC 27001:2013, 7.5).

112/122
ISO/IEC 27007, Tableau A.2, A.1.4 Système de management de la sécurité de l'information (ISO/IEC
27001:2013, 4.4) (suite)
Il convient également que les auditeurs confirment que l'organisation, dans sa capacité actuelle, conserve son
autorité, sa responsabilité et son autonomie pour décider de la manière dont elle satisfera aux exigences du
SMSI, y compris le niveau de détail et la mesure dans laquelle elle intégrera les exigences du SMSI dans ses
activités.

113/122
ISO/IEC 27007, Tableau A.2, A.2.2 Politique (ISO/IEC 27001:2013, 5.2) (suite)
d)la politique de sécurité de l'information est communiquée en interne, conformément aux exigences de
l'article sur la communication (7.4);
e)la politique de sécurité de l'information est également mise à la disposition des autres parties intéressées,
le cas échéant.
Lorsque la politique de sécurité de l'information contient un engagement à satisfaire aux exigences applicables,
en particulier aux lois et réglementations pertinentes, le SMSI ne devrait pas être considéré comme non conforme
tant qu'il permet de détecter et de corriger rapidement les déficiences du système qui ont contribué au(x) cas de
non-conformité.

114/122
ISO/IEC 27007, Tableau A.2, A.4.1 Ressources (ISO/IEC 27001:2013, 7.1) (suite)
Preuve d’audit
Les ressources peuvent inclure :
a. individus;
b. compétences ou connaissances spécialisées;
c. infrastructure organisationnelle (par exemple, bâtiments, lignes de communication, etc.);
d. technologie;
e. information, d'autres actifs associés à l'information et des installations de traitement de l'information;
f. argent (par exemple des espèces, des titres liquides et des lignes de crédit).

115/122
ISO/IEC 27007, Tableau A.2, A.6.3 Revue de direction (ISO/IEC 27001:2013, 9.3) (suite)
Il convient que les auditeurs évaluent par le biais de l'audit que la direction est personnellement engagée dans
cette revue, en mettant en œuvre ce mécanisme pour entraîner les changements du SMSI et orienter les priorités
d'amélioration continue, en particulier en ce qui concerne les enjeux changeants dans le contexte de
l'organisation, les écarts par rapport aux résultats escomptés ou les conditions favorables qui offrent un avantage
avec un résultat bénéfique.
Il convient que les auditeurs vérifient que la revue de direction inclut la prise en compte de tous les points b) à g)
énumérés dans les preuves d'audit de A. 6.3.
Il convient également que les auditeurs confirment que les résultats de la revue de direction comprennent les
décisions relatives aux possibilités d'amélioration continue et à tout besoin de changement du SMSI.

116/122
ISO/IEC 27007, Tableau A.2, A.7.1 Non-conformité et actions correctives (ISO/IEC 27001:2013, 10.1) (suite)
b)la non-conformité et l'action corrective comprennent la prise de mesures pour corriger la situation,
examiner la cause et déterminer si d'autres occurrences existent ou pourraient exister ailleurs afin que des
actions puissent être prises pour empêcher que cela ne se reproduise;
c)la réponse de l'organisation couvre l'évaluation de l’action entreprise pour confirmer que le résultat
escompté a été atteint, et l'évaluation du SMSI pour déterminer si des changements sont justifiés pour éviter
que des non-conformités similaires ne se produisent à l'avenir;
d)la documentation de la non-conformité, de l'action corrective et des résultats est créée et contrôlée
conformément aux exigences en matière d'informations documentées.

117/122
Exercice 12 : Rédaction d'un plan de tests d'audit
Préparez un plan de tests d'audit en sélectionnant au moins trois procédures d'audit appropriées pour valider la
conformité à la mesure A.12.4.2 de la norme ISO/IEC 27001. Cochez « S. O. » (sans objet) pour les procédures
qui ne s'appliquent pas.


118/122
Résumé de la section :
1. Les plans de test d'audit aident à valider la conformité aux exigences.
2. Il est recommandé que, lors des procédures de test d'audit groupées, l'auditeur ne valide qu'une exigence
afin d'éviter toute perturbation dans les activités de l'audité.
3. L'auditeur devrait être en mesure de créer les plans de tests d'audit sur la base des procédures d'audit
utilisées pour la collecte des preuves.

119/122
Résumé du jour 3
Les sujets suivants ont été abordés lors du jour 3 de cette formation :
Préparation de l'étape 2 de l'audit (audit sur site) et de l’information documentée pour l'audit
Planification de l'audit et création de plans de tests d'audit
Désignation des auditeurs
Étape2 de l’audit
Réunion d'ouverture et réunion de l'équipe d'audit
Collecte d’information
Réalisation des tests d’audit
Rapports de constatations d’audit et de non-conformité
Revue qualité
Communication pendant l'audit et communication avec la direction
Guides et observateurs
Procédures d'audit, y compris les entretiens, la revue d'information documentée, l’observation, l’analyse,
l'échantillonnage, la vérification technique, la corroboration et l'évaluation
Audit des activités et sites virtuels
Plans de tests d'audit et lignes directrices pour l'audit d'un SMSI

120/122
121/122
122/122

LA27001 FR Day3

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

LA27001 FR Day3

Transféré par

Droits d'auteur :

Formats disponibles

© PECB, 2020. Tous droits réservés.

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Durée de l’exercice : 30 minutes

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Durée de l’exercice : 20 minutes

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()

Licensed to CYBERBST Conseil & Formation SARL ()