Dans le cadre de votre réflexion sur votre stratégie d'audit, vous avez déjà réfléchi aux bonnes pratiques du secteur. Voici un petit rappel :
Les activités de l’entreprise doivent être conformes aux lois et à la réglementation, mais peuvent également répondre à des standards et à des bonnes pratiques du secteur et/ou du métier.
Dans votre univers d’audit, vous avez identifié toutes les thématiques organisationnelles et SI spécifiques à votre entreprise, qui peuvent faire l’objet d’un audit. Comme nous l’avions défini, l’univers est composé de galaxies et de planètes, régies par un certain nombre de lois. Dans le précédent chapitre, nous nous sommes concentrés sur les galaxies et planètes à explorer.À présent, je vous propose d’aborder ces lois.
Autrement dit, la vision globale et l'approche systémique de l'entreprise ne suffisent pas. Pour être exhaustive, la liste des thématiques d'audit doit être complétée par une analyse de cadres de référence, selon le secteur d'activité et les domaines fonctionnels.
Qu’est-ce un référentiel ?
Les enjeux de la mise en œuvre d’un référentiel sont la recherche d’une meilleure performance des processus et opérations, et d’une meilleure maîtrise des risques. Il s’agit également d’un gage de qualité, qui démontre une bonne gestion des activités, puisque les référentiels sont reconnus par des professionnels.
Par exemple, la Direction des systèmes d'information (DSI) de l'entreprise s'appuie sur des référentiels tels que le COBIT, ITIL ou CMMI, afin de définir la gouvernance des SI. L'entreprise peut également avoir la volonté de s'inscrire dans une démarche qualité et s'engager dans une certification "ISO".
Contrairement à la réglementation et aux lois, l’entreprise n’a aucune obligation de les mettre en œuvre.
Dans ce chapitre, je vous propose une démarche d’identification des référentiels que vous pourrez intégrer dans votre plan d’audit. Nous verrons qu’il existe des référentiels externes, correspondant aux bonnes pratiques du secteur et/ou du métier, et des référentiels internes.
Identifiez les référentiels externes pertinents
Que ce soit dans le cadre de la réflexion d’une stratégie d’audit, de l’élaboration d’un plan d’audit, ou lors d’une mission d’audit, vous allez sans cesse vous interroger sur les bonnes pratiques à appliquer.
L’audit permet de faire un diagnostic de l’existant, afin d’identifier de points forts et des points faibles d’une organisation par rapport à une référence. C’est bien cette référence que vous devez identifier.
Les référentiels externes sont identifiés en fonction :
du secteur d'activité ; par exemple, si votre entreprise se trouve dans le secteur bancaire, elle est soumise au cadre de référence de l'AMF ;
du domaine fonctionnel ; par exemple, si vous travaillez dans une administration publique, il existe des bonnes pratiques de l'achat public ;
de l’environnement des SI ; par exemple, si votre entreprise dispose d’une direction des systèmes d’information, celle-ci applique forcément des bonnes pratiques issues de cadres de référence reconnus, présentés ci-dessous.
Voici des exemples de référentiels reconnus dans les SI :
pour la gouvernance des SI : COBIT (Control Objectives for Information and related Technology) ;
pour la gestion des SI : ITIL (Information Technology Infrastructure Library) ;
pour le développement d’un SI : CMMI “(Capability Maturity Model Integration) ;
pour la sécurité des systèmes d'information : ISO 27001.
Pour chaque processus, vous listerez les cadres de référence correspondants, applicables bien évidemment au secteur d’activité. Vous pouvez combiner cette analyse avec les référentiels internes et la réglementation que nous allons voir dans les sections suivantes.
Partez à la recherche des référentiels internes
Dans votre entreprise, une documentation des processus, sous la forme de politiques ou de procédures, doit exister, avec un degré de formalisation plus ou moins avancé.
Ces règles ont la plupart du temps été conçues au moyen de référentiels externes et à partir des lois et réglementations en vigueur.
Par exemple, en matière de gestion des SI, les politiques, comme la CNIL (Commission nationale de l'informatique et des libertés), fournissent un certain nombre de principes liés à la propriété intellectuelle, à la protection des données, au respect de la vie privée, à la collecte d'informations à caractère personnel, afin de garantir la conformité aux lois et réglementations.
Comme je vous l’avais mentionné, cela dépendra du système de management de la qualité, ou de la pyramide documentaire, mis en place dans votre entreprise.
En matière de SI, les procédures donnent des consignes à appliquer dans le cadre du déroulement d’un processus ou d’un sous-processus (procédure de gestion des comptes utilisateurs, procédure de configuration, de sauvegarde, etc.).
En collectant et en consultant cette documentation existante dans votre entreprise, vous allez enrichir l’univers d’audit. Vous allez également confirmer ou infirmer des thématiques qui ne seraient pas pertinentes pour être auditées.
N’oubliez pas le cadre législatif
Dans le cadre de votre réflexion sur la stratégie d’audit, vous avez évalué l’influence des pouvoirs publics sur votre entreprise. Si vous avez estimé que cette influence est forte, je vous invite à vous rapprocher du service juridique afin d’avoir une vision précise des lois et réglementations auxquelles votre entreprise est soumise.
Les audits ayant pour objectif de vérifier la conformité aux lois sont souvent réalisés par la fonction “compliance”, experte sur ces sujets. Néanmoins, la fonction d’audit interne peut intégrer ces aspects au cours de la réalisation de ses missions.
Par exemple, dans le cadre d’une mission d’audit de sécurité des données personnelles, les référentiels sont :
le référentiel ISO 27001 ;
toutes les politiques et procédures sur la sécurité des systèmes d’information, internes à votre entreprise ou issues du groupe ;
le règlement général sur la protection des données RGPD (ou “General Data Protection Regulation”, GDPR) applicable à compter du 25 mai 2018 ;
et tout autre cadre de référence et bonnes pratiques, élaborés par des autorités et/ou organisations professionnelles, qui vous semblent pertinents et applicables dans votre entreprise, compte tenu de ses objectifs stratégiques. Sur la thématique de sécurité des données personnelles, il s’agit de l’ANSI (Agence nationale de la sécurité des systèmes d'information) et de la CNIL (Commission nationale de l'informatique et des libertés).
À partir de cet exemple, vous avez remarqué qu’il est possible de réaliser des audits spécifiques, à intégrer dans l’univers d’audit et dans votre plan d’audit pluriannuel :
un audit ISO 27001, indispensable si l’objectif de votre entreprise est d’en être certifiée ;
un audit RGPD ;
ou un audit de sécurité des SI sur un périmètre défini d’applications.
Vous l’aurez remarqué, l’univers d’audit peut être vaste. Si le temps et les ressources étaient illimitées, tous les processus et les SI de l'entreprise devraient faire l'objet d'un audit, qui permettrait également de vérifier leur conformité avec les bonnes pratiques du secteur.
Cependant, ce n'est évidemment pas le cas. Vous devrez prioriser les audits au moyen d’une analyse de risques, qui sera expliquée dans le prochain chapitre.
En résumé
L’univers d’audit est composé :
des thématiques organisationnelles et techniques pouvant faire l’objet d’un audit ;
des projets en cours dans l’entreprise ;
des référentiels externes, regroupant les bonnes pratiques du secteur et/ou du métier ;
des référentiels internes, qui sont les politiques et les procédures mis en œuvre dans l’entreprise pour garantir la bonne réalisation des activités ;
des réglementations et lois auxquels nul ne peut déroger.
Dans le chapitre suivant, je vous propose de prioriser les thématiques d’audit au moyen d’une analyse de risques.
