Auditeurs
Accès rapide
Les entreprises, les organisations sont en permanence confrontées à l’amélioration de leurs performances dans un environnement qu’elles souhaitent sécuriser. Cette amélioration est de plus en plus recherchée au travers d’une décentralisation de la prise de décisions pour en assurer la pertinence et la mise en œuvre rapide. Dans ces conditions, le chef d’entreprise, le dirigeant est naturellement amené à s’interroger sur la maîtrise du fonctionnement de l’organisation, par lui-même et ses collaborateurs.
L’Audit Interne S&ST est une prestation qui, de manière générale, permet d’établir un bilan de la santé et de la sécurité sur un périmètre donné. Comme son nom l’indique, L’Audit Interne S&ST Comme tous les audits, un audit interne S&ST doit être mené par des personnes indépendantes des activités auditées. Ils peuvent être menés par des collaborateurs, après qu’ils aient suivi une formation à l’audit interne . Une autre solution consiste à confier tout ou partie de ces audits internes à un cabinet spécialisé . Ceci est particulièrement nécessaire pour des sujets sensibles ou difficilement auditables par les collaborateurs, tels que la direction, la fonction S&ST, le service financier, les RH…
De manière générale, effectuer un Audit interne S&ST c’est évaluer si les moyens de préventions de l’entreprise sont adaptés, la veille réglementaire S&ST est efficace, la politique S&ST est connue et adaptée. Les procédures sont appliquées, les EPI utilisés … L’audit interne S&ST permet de vérifier l’application des bonnes pratiques de sécurité sur un ensemble de composants ou produits dans un contexte donné. Ceci est ensuite complété par une analyse des lacunes en termes de sécurité et peut s’appuyer sur toutes les données à la disposition du consultant.
L’intérêt de l’audit interne S&ST
Les techniques de l’audit interne S&ST, l’audit externe et le contrôle interne ont toujours des effets positifs sur le personnel au sein de la société. En effet, il permet aux dirigeants de la société d’avoir une vision globale par rapport aux différents départements de l’entreprise. Il est considéré comme un outil performant d’aide à la décision dans la mesure où il étudie tous les types de risques tels que le non-respect de procédures fondamentales. D’autre part, grâce aux analyses détaillées effectuées et aux recommandations déduites, les chefs d’entreprise gagnent en termes de gestion d’entreprise, de qualité de service ou bien de produit et de temps. Cette démarche favorise la motivation au sein des équipes de personnel. Suite à l’élimination des anomalies et des défaillances, les revenus augmentent automatiquement, par la suite les bénéfices s'accroissent. On constate surtout l’effet de cette démarche si l’entreprise réussit à obtenir les Certifications ISO.
Dans tous les cas, l’audit interne S&ST a pour but de vérifier la santé et la sécurité. Dans le cycle de sécurisation, la vérification intervient après la réalisation d’une action. Par exemple, lors de la mise en place d’un nouveau composant, il est bon de tester sa sécurité après avoir intégré le composant dans un environnement de test, et avant sa mise en œuvre effective.
Le résultat de cette évaluation est la rédaction du rapport d’audit interne. Celui-ci contient la liste exhaustive des vulnérabilités recensées par l’auditeur sur le système analysé. Il contient également une liste de recommandations permettant de supprimer les vulnérabilités trouvées.
Un Audit Interne S&ST, ou de façon générale un audit ne doit pas être confondu avec l’analyse de risques. L’audit interne S&ST ne permet que de trouver les vulnérabilités, alors que l’analyse de risque permet de dire quels risques sont pris en compte, ou acceptés. L‘auditeur dresse donc des recommandations, que l’audité suivra, ou ne suivra pas. Le client déterminera s’il suivra les recommandations ou non, en se référant à la politique de sécurité.
A qui s’adresse l’audit interne S&ST ?
Les audits internes S&ST s’adressent à tous types d’organismes portant une attention particulière à leur niveau de sécurité. Par expérience, il est à souligner que la pratique d’audits internes S&ST dépend également du niveau de maturité en termes de sécurité des clients. Les clients demandant ce genre de prestation ont en général effectué celles-ci dans le passé ou ont au moins mis en place des processus de scans de vulnérabilité et tests d’intrusion. Pour résumer les profils « type » à qui s’adressent le plus souvent les audits S&ST :
- L’organisme ayant fait usage de prestations d’évaluation de sécurité par le passé: et souhaitant approfondir des points en détails de son infrastructure ;
- Le gestionnaire d’un projet en cours de mise en place, souhaitant s’assurer de l’application de bonnes pratiques et n’étant pas encore en mesure de pratiquer les tests d’intrusion, faute de maquette fonctionnelle ;
- L’organisme souhaitant un « débroussaillage » de la sécurité de son infrastructure, effectuant un audit afin d’identifier à plus haut niveau les chantiers les plus prioritaires et son niveau de sécurité sur différents aspects : cloisonnement de données, supervision, pratiques de développement.
Planification et déroulement de l’audit interne S&ST
Planifier les audits internes S&ST ou tout autres audit consiste à déterminer ce que l’entreprise souhaite auditer, quand et par qui. Les sujets à auditer dépendent de l’ancienneté de son système, de son niveau de maturité et de ses priorités. Les audits S&ST peuvent porter sur la totalité du système ou sur certaines parties seulement (direction, pilotage, analyse des risques, veille réglementaire, maîtrise opérationnelle, communication, moyens de prévention, revue de direction, amélioration continue …). Mais pour mener des audits, il faut aussi choisir ses auditeurs avec soin !
Lorsqu’une équipe d’auditeurs internes est identifiée, il faut la composer avec des collaborateurs volontaires et hétérogènes (services, niveaux …). Les approches variées d’auditeurs différents seront une véritable richesse. De plus, les auditeurs devront être indépendants des activités auditées, cet atout offrira plus de possibilités pour la planification. Il est aussi primordial de former l’équipe à l’audit interne S&ST.
Le déroulement d’un audit interne S&ST se fait selon les étapes suivantes :
- Revue documentaire : L’auditeur passe en revue les documents nécessaires (procédures clés, document unique, revue de direction…) en fonction de l’objet de l’audit.
- Planning d’audit : L’auditeur élabore avec vous le planning de l’audit. Après validation, il est diffusé au sein de votre organisme au moins 3 semaines avant l’audit. La durée de l’audit dépend de son objectif et des éléments de votre système que vous souhaitez passer en revue. Contactez-nous pour obtenir une offre détaillée et adaptée à vos besoins.
- Audit sur site : L’auditeur anime la réunion d’ouverture, conduit des interviews avec le personnel et sa hiérarchie, analyse la documentation existante, observe les moyens et les pratiques… puis il présente en fin d’audit l’ensemble de ses observations en utilisant la même classification que celle de votre organisme de certification.
- Rapport d’audit: l’auditeur élabore le rapport d’audit S&ST interne complet comprenant toutes les observations : points forts, points faibles, opportunités d’amélioration, écarts.
ACT-15-NPM-JM12102022
Date d'insertion: 10/10/2022
Retour en haut de page
Ce sujet vous intéresse ?
Posez vos questions et échangez avec nos experts