Audit

Kanzari
Noureddine
2022
 2

Agenda

1 Principe d’audit
3
4
Contenu d'ISO 19011:2018 5

1. Domaine d’application
2. Références normatives
3. Termes et définitions
4. Principes de l’audit
5. Management d’un programme d’audit
6. Réalisation d’un audit
7. Compétence et évaluation des auditeurs
Contenu d'ISO/IEC 27006:2015 6

1. Domaine d’application
2. Références normatives
3. Termes et définitions
4. Principes
5. Exigences générales
6. Exigences structurelles
7. Exigences relatives aux ressources
8. Exigences relatives aux informations
9. Exigences relatives aux processus
10. Exigences relatives au système de management des organismes de certification
7
Les audits de première partie (audits internes) 8

- est une activité indépendante et objective qui donne à un organisme une assurance
du degré de maîtrise de ses opérations, donne des recommandations pour les
améliorer et contribue à créer une valeur ajoutée.

- Les audits internes sont réalisés par, ou pour le compte de, l’organisme lui-même,
pour les revues de direction et les autres besoins internes.
Les audits de seconde et tierce parties (audits externes) 9

- La principale différence entre les deux réside dans la certification. D'une part, les
audits de seconde partie sont menés par des parties qui ont un intérêt dans l'entité
auditée (par exemple, les clients) et ne sont pas destinés à des fins de certification.
D'autre part, les audits de tierce partie sont menés par des organismes d'audit
externes et indépendants (p. ex. des organismes de certification, des agences
gouvernementales) et l'objectif est d'obtenir une certification.

Note importante : L’audit de tierce partie est réalisé par des auditeurs externes
indépendants de l’audité
10
11
12
 13

- Il convient que les auditeurs possèdent des connaissances et des aptitudes dans les
domaines suivants:
a) Principes, processus et méthodes d’audit:
° comprendre les types de risques
° planifier et organiser le travail de manière efficace
° réaliser l’audit dans le temps imparti
° définir les priorités et se concentrer sur les sujets importants
° communiquer efficacement, oralement et par écrit
° recueillir les informations par des entretiens efficaces, en écoutant, en observant
et en passant en revue des informations documentées
 14

° techniques d’échantillonnage
° tenir compte des avis des experts techniques
° auditer un processus du début à la fin
° vérifier la pertinence et l’exactitude des informations recueillies
° confirmer le caractère suffisant et adéquat des preuves d’audit pour étayer les
constatations
° documenter les activités d’audit et les constatations
° préserver la confidentialité et la sécurité des informations
 15

b) Normes de système de management

° les normes de systèmes de management
° l’application des normes
° la compréhension de l’importance des normes
 16

c) L’organisme et son contexte:

° comprendre la structure de l’audité
° le type d’organisme, sa gouvernance, sa taille, ses fonctions et ses relations
° le contexte culturel et social de l’audité
 17

d)Exigences légales et réglementaires

° la terminologie légale de base
° les contrats et obligations
18
 19

° planifier l’audit et attribuer les tâches d’audit selon la compétence spécifique de chaque
membre
° établir et maintenir une relation de travail en collaboration entre les membres de l’équipe
d’audit
° utiliser efficacement les ressources au cours de l’audit
° assurer la protection de la santé et de la sécurité des membres de l’équipe d’audit pendant
l’audit
° diriger les membres de l’équipe d’audit
° prévenir et résoudre les conflits pouvant survenir pendant l’audit
° amener l’équipe d’audit à élaborer les conclusions d’audit
° préparer et établir le rapport d’audit
20
 21

° L'utilisation de la technologie dans les audits permettra d'automatiser diverses tâches

manuelles qui prennent beaucoup de temps et qui étaient auparavant effectuées par l'équipe
d'audit
22
 23

° Les données structurées ont un modèle de données défini et sont basées sur une base de
données
° Les données non structurées n'ont pas de modèle de données prédéfini
24
25
26
27
 28

Agenda

3 Audit base sur les preuves

29
 30

° Les preuves d'audit sont toutes les informations utilisées par les auditeurs pour déterminer
si l'audité répond aux critères d'audit
° Les preuves d'audit sont par exemple une politique de sécurité de l'information, une liste
d'actifs et de leurs propriétaires, un rapport d'audit interne
 31

° Les preuves qualitatives: sont des preuves qui proviennent de l'analyse d'informations non
quantifiables. Il s'agit d'évaluer si une mesure est conforme aux critères d'audit

° Les preuves quantitatives: sont des preuves qui proviennent de l'analyse d'un échantillon
(L'analyse d'un échantillon de 5 des 25 rapports de suivi des non-conformités rédigés par
l'organisme audité au cours de l'année écoulée servira de preuve) ce qui permettra aux
auditeurs de déterminer si l'organisme se conforme au processus de suivi qui vise à traiter les
non-conformités en conséquence et à assurer un SMSI efficace
32
33
 34

- l'audité peut demander le remplacement d'un membre de l'équipe d'audit pour des raisons
valables
- Un motif évident serait qu’un auditeur ait précédemment fait preuve d’une conduite non
professionnelle
- situations de conflit d'intérêts réel (un auditeur a déjà travaillé pour l'audité)
- un audité peut demander que chaque membre de l’équipe d’audit possède une habilitation
de sécurité ou qu’il soit soumis à une vérification de ses antécédents avant d’être admis
sur le site
35
 36

- Information nécessaire pour planifier l'audit: L'équipe d'audit doit disposer de

l’information nécessaire pour planifier et réaliser l'audit
- Coopération de la part de l'audité : (exemple, un audité refusait l'accès de l'équipe
d'audit aux configurations de pare-feu en prétendant que les informations sont trop
sensibles) (Les données sensibles ne soient accessibles que sur place et en présence
d'un représentant de l'audité à tout moment)
- Durée prévue de l'audit : Si, selon les auditeurs, la durée d’audit proposée est
insuffisante pour permettre une évaluation adéquate du système de management, les
auditeurs peuvent et ont le droit de refuser le mandat d'audit
 37

- Compétence des auditeurs : Le responsable de l'équipe d'audit doit s'assurer que

l'équipe d'audit est compétente pour mener à bien l'audit
- Aspects culturels: Les aspects culturels, tels que la langue de l'audité, doivent être pris
en compte.
38
39
 40

- Les objectifs d’audit:

° Le périmètre d'audit devrait être cohérent avec les objectifs d’audit
° Il n'inclut pas nécessairement tous les processus, produits, lieux, départements ou divisions
de l'organisme qui sont couverts par le système de management
(Pour l'audit de l'ensemble des activités d'une banque qui comprend un siège social, 4
centres de traitement, 20 bureaux régionaux et 1 500 succursales, le périmètre d'audit
pourrait couvrir que le siège social, 1 centre de traitement des données, 5 bureaux
régionaux et 25 succursales)
41
42
43
 44

- avant le début de l'audit, afin d'éviter tout malentendu

- Le contrat documente et confirme l'acceptation de l'audité, les dates d'audit, les objectifs
d'audit, les critères d'audit et le périmètre de l'audit
 45

Les documents de base relatifs au SMSI sont les suivants :

-Périmètre du SMSI : clairement défini
-Politique et objectifs de sécurité de l’information: approuvées par la direction, publiées et
distribuées à toutes les parties intéressées
-Déclaration d’applicabilité
-Description de l'approche d'appréciation des risques et méthodologie : L'auditeur doit
s'assurer que l'approche d'appréciation des risques et la méthodologie choisie sont
documentées (définition des critères d'acceptation des risques et l'identification des niveaux
de risque acceptables, plan de traitement des risques)
 46

Les documents de base relatifs au SMSI sont les suivants :

-Résultats de surveillance et de mesure
-Enregistrements des formations, compétences, expérience et qualifications
-Résultats des audits internes
-Résultats de la revue de direction
-Résultats des actions correctives
47
48
 49

L'auditeur doit au moins documenter les observations qui pourraient entraîner des non-conformités lors de
l'audit sur site.
Dans les cas où des non-conformités majeures sont détectées au cours de l'audit documentaire, l'audité
devrait apporter les modifications nécessaires à la documentation du système de management et soumettre
la documentation corrigée à l'équipe d'audit avant de procéder à l'étape 2 de l'audit