Aller au contenu

Audit cyber

Norme ISO 19011⚓︎

Notion d'audit⚓︎

Un processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits.

Critères d'audit⚓︎

Ensemble des politiques, procédures ou exigences déterminées par rapport auxquelles la conformité des systèmes est évaluée.

Standard, norme⚓︎

  • Organisation (politique, directives, procédures)
  • Client (contrats)
  • Exigences légales, réglementaires, statutaires

Preuves d'audit⚓︎

Enregistrements, énoncés de faits ou autres informations qui se rapportent aux critères d'audit et sont vérifiables.

Les preuves d'audit peuvent être qualitatives ou quantitatives

Programme d'audit⚓︎

Ensemble d'un ou plusieurs audits planifiés dans un laps de temps et dans un but déterminé.

Note

Un programme d'audit comprend toutes les activités nécessaires pour la planification, l'organisation et la réalisation des audits.

Plan d'audit⚓︎

Description des activités et des dispositions nécessaires pour réaliser un audit.

  • Préparé par le responsable d'audit.
  • Accord entre commanditaire, équipe d'audit et audité.
  • Facilite la programmation dans le temps et la coordination des activités d'audit.
  • Flexible

Manque un bout ici

Bénéfice des audits⚓︎

  • Source clé d'informations pour le réexamen (review) de sécurité
  • Démontre l'engagement managérial
  • Améliore la sensibilisation des personnels, leur participation et leur motivation
  • Donne des moyens pour l'amélioration continue des systèmes
  • Augmente la confiance et la satisfaction des clients
  • Améliore la performance opérationnelle

Principes applicables à l'auditeur⚓︎

  • Issus de la norme ISO 19011 - Partie 4.a, 4.b et 4.c

Manque un bout ici

Etapes⚓︎

  • Déclenchement de l'audit
  • Préparation des activités sur site
  • Réalisation des activités
  • Préparation, approbation et diffusion du rapport
  • Clôture
  • Suivi

Déclenchement d'audit⚓︎

  • Nomination du responsable de l'équipe d'audit
  • Définition des objectifs, du champs et des critères
  • Evaluation de la faisabilité
  • Constitution de l'équipe
  • Contact initial avec l'audité

Préparation des activités sur site⚓︎

Réalisation d'une revue de documents dans la préparation de l'audit.

Revue des documents relevant du système de management, y compris des enregistrements, et détermination de leur adéquation par rapport aux critères d'audit.

Permet de:

  • Déterminer les processus et leur interactions
  • Remonter toute problématique liée à la documentation
  • Décider si le processus d'audit continue ou s'i doit être reporté

préparation du plan d'audit⚓︎

Description des activités et des dispositions nécessaires pour réaliser un audit.

Le responsable prépare un plan:

  • Approuvé par le client
  • Utilisé pour prévoir et contrôler l'audit
  • Flexible pour autoriser les changements en cours d'audit

Contenu du plan d'audit:

  • Les objectifs
  • Les critères et tous les documents de référence
  • Le champ de l'audit, y compris l'identification des unités organisationnelles et fonctionnelles ainsi que des processus à auditer
  • Les dates et lieux où seront menées les activités
  • Horaires et durée
  • Rôle des responsables

Répartition des tâches au sein de l'équipe

  • En concertation avec l'équipe d'audit, le responsable attribué à chaque membre la responsabilité d'auditer des parties spécifiques

Préparation des documents de travail

  • Liste type pour vérifier et valider les critères
  • Etablit le plan d'échantillonnage
  • Permet une couverture de l'audit équilibrée
  • Aide à recueillir de preuves
  • Permet au responsable d'évaluer le planning
  • Contrôle le rythme de l'audit
  • Sert d'aide-mémoire;
  • Enregistre les zones qui ont été investiguées
  • Preuve de planification
  • Formulaires utilisés pour enregistrer les observations et preuves

Intervention sur site⚓︎

Attribution des rôles et responsabilités des guides et des observateurs

Des guides et des observateurs (par exemple de réglementation ou autres parties intéressées) peuvent accompagner l'équipe d'audit

Il va bcp trop vite

Le rôle des guides peut également inclure les activités suivantes:

  • Être témoin de l'audit pour le compte de l'audité
  • Fournir des clarifications ou aider à recueillir des informations

Réunion d'ouverture:

  • Confirmer le plan et les arrangements de l'audit
  • Décrire le processus d'audit et les méthodes

  • Confirmer les circuits de communication

  • Présentation des participants

  • Confirmation des objectifs, du champs et des critères de l'audit
  • Confirmation avec l'audité des horaires et dispositions
  • Méthodes et procédures utilisées
  • Confirmation des circuits de communication

Réalisation d'une revue de documents au cours de l'audit

  • Revue des documents pertinents du système de management, y compris des enregistrements, et détermination de leur adéquation par rapport aux critères d'audit

  • Etablissement des processus et leur interactions

  • Remontée des problèmes de documentation
  • Décision si le l'audit doit continuer

Recueil et vérification des informations

  • Demander l'accord de l'audité avant de prendre un élément d'information
  • Ne pas s'attarder si l'échantillon ne révèle pas de non-conformités
  • L'absence de non-conformités dans l'échantillon ne veut pas dire qu'il n'y a pas de non-conformités dans le système
  • S'assurer que ceci est bien clair pour l'auditeur et l'audité
  • Il est de la responsabilité de l'audité de contrôler toutes les zones de son système

C'est l'auditeur qui détermine la taille de l'échantillon

  • La taille de l'échantillon sera basée sur le volume, le temps et les problématiques déjà rencontrées
  • Rappeler que les preuves d'audit recueillies sont basées sur l'échantillonnage
  • Toujours rappeler les limites et les incertitudes de la méthode d'échantillonnage.

Pour l'instant j'arrête là

Si on a le cours je vais update, mais la jpp il va trop vite!