Plan de reprise après un audit ISO 27001:2022 non concluant
Le courriel que personne ne voulait recevoir
Le courriel arrive tard un vendredi avec un objet qui semble anodin : « Résultat de l’audit de transition ».
Son contenu ne l’est pas. L’organisme de certification a relevé une non-conformité majeure. Le certificat ISO/IEC 27001 est suspendu, ou la décision de transition ne peut pas être clôturée. La note de l’auditeur est directe : la Déclaration d’applicabilité ne justifie pas les contrôles exclus, l’appréciation des risques ne reflète pas le contexte actuel et les preuves sont insuffisantes pour démontrer que les nouvelles obligations réglementaires ont été prises en compte.
En moins d’une heure, le sujet n’est plus seulement un problème de conformité. L’équipe commerciale demande si un appel d’offres du secteur public est désormais menacé. Le service juridique examine les clauses des contrats clients. Le RSSI explique pourquoi la SoA ne concorde pas avec le plan de traitement des risques. Le Directeur général pose la seule question qui compte : « À quelle vitesse pouvons-nous corriger cela ? »
Pour de nombreuses organisations, le dépassement de l’échéance de transition ISO 27001:2022 n’a pas créé une lacune théorique. Il a créé un enjeu réel de continuité d’activité. Un audit de transition ISO 27001:2022 manqué ou non concluant peut affecter l’éligibilité aux appels d’offres, l’onboarding fournisseur, l’assurance cyber, les programmes d’assurance sécurité demandés par les clients, la préparation à NIS2, les attentes DORA, la responsabilité au titre du GDPR et la confiance du conseil d’administration.
La bonne nouvelle est qu’une reprise est possible. La mauvaise nouvelle est qu’un simple maquillage documentaire ne fonctionne pas. La reprise doit être traitée comme un programme discipliné d’actions correctives du SMSI, et non comme une réécriture précipitée de politiques.
Chez Clarysec, nous structurons cette reprise autour de trois actifs connectés :
- Zenith Blueprint : feuille de route d’audit en 30 étapes, en particulier la phase Audit, revue et amélioration.
- La bibliothèque de politiques Clarysec pour entreprises et PME, qui transforme les constats d’audit en obligations gouvernées.
- Zenith Controls : guide de conformité croisée, qui permet de relier les attentes des contrôles ISO/IEC 27002:2022 à NIS2, DORA, GDPR, aux approches d’assurance de type NIST et aux perspectives de gouvernance COBIT 2019.
Voici le plan de reprise pratique destiné aux RSSI, responsables conformité, auditeurs, fondateurs et dirigeants qui ont manqué l’échéance de transition ISO 27001:2022 ou dont l’audit de transition n’a pas abouti.
Commencer par diagnostiquer le mode d’échec
Avant de modifier une seule politique, qualifiez la situation. Tous les échecs ou retards de transition n’ont pas le même impact métier ni le même parcours de reprise. Les premières 24 heures doivent être consacrées à l’obtention du rapport d’audit, de la décision de l’organisme de certification, du libellé des non-conformités, des demandes de preuves, des échéances et du statut actuel du certificat.
| Situation | Impact métier | Action immédiate |
|---|---|---|
| Audit de transition non concluant avec non-conformité majeure | La décision de certification peut être bloquée ou le certificat peut être suspendu jusqu’à correction du problème | Ouvrir une CAPA, réaliser une analyse des causes racines, confirmer les attentes en matière de preuves avec l’organisme de certification |
| Audit de transition réussi avec non-conformités mineures | La certification peut se poursuivre si les actions correctives sont acceptées | Clôturer rapidement les CAPA mineures et mettre à jour le dossier de preuves du SMSI |
| Transition non achevée avant l’échéance | Le certificat peut ne plus être valide ou reconnu | Confirmer le statut avec l’organisme de certification et planifier le parcours de transition ou de recertification |
| Audit de surveillance révélant des preuves de transition faibles | La certification peut être menacée au prochain point de décision | Réaliser un audit à blanc et mettre à jour la SoA, le traitement des risques, la revue de direction et les enregistrements d’audit interne |
| Rejet du certificat ou des preuves de transition par un client | Risque commercial, risque d’appel d’offres et impact sur la confiance | Préparer un dossier d’assurance client avec le statut d’audit, le plan CAPA, les dates cibles et l’approbation de gouvernance |
Le plan de reprise dépend du mode d’échec. Une décision de certification bloquée exige une remédiation ciblée. Un certificat suspendu exige une reprise urgente de la gouvernance et des preuves. Un certificat retiré ou expiré peut imposer un parcours de recertification plus large.
Dans tous les cas, rattachez chaque problème à la clause SMSI pertinente, au contrôle de l’Annexe A, à l’enregistrement de risque, au propriétaire de la politique, à l’obligation légale ou contractuelle et à la source des preuves.
C’est ici que ISO/IEC 27001:2022 compte en tant que système de management, et pas seulement comme catalogue de contrôles. Les clauses 4 à 10 exigent que le SMSI comprenne le contexte, les parties intéressées, le domaine d’application, le leadership, la planification des risques, le support, les opérations, l’évaluation de la performance et l’amélioration continue. En cas d’échec de transition, l’un de ces liens du système de management est généralement rompu.
Pourquoi les audits de transition ISO 27001:2022 échouent
Les échecs d’audit de transition se regroupent généralement autour de schémas récurrents. Beaucoup ne sont pas profondément techniques. Ce sont des défaillances de gouvernance, de traçabilité, de responsabilité et de preuves.
| Schéma de constat | Ce que voit l’auditeur | Ce que cela signifie généralement |
|---|---|---|
| Déclaration d’applicabilité non mise à jour ou non justifiée | Des contrôles sont marqués applicables sans justification, ou exclus sans preuves | La sélection des contrôles n’est pas traçable au risque, à la réglementation ou au besoin métier |
| L’appréciation des risques ne reflète pas les obligations actuelles | NIS2, DORA, GDPR, les contrats clients, les dépendances cloud ou le risque fournisseur sont absents | Le contexte et les critères de risque n’ont pas été actualisés |
| La revue de direction est superficielle | Des comptes rendus existent, mais aucune décision, ressource, objectif, résultat d’audit ou évolution des risques n’est discuté | La responsabilité de la direction n’est pas opérationnelle |
| L’audit interne n’a pas testé le périmètre de transition | La liste de contrôle d’audit est générique et ne couvre pas les contrôles mis à jour, les fournisseurs, le cloud, la résilience ou les obligations légales | L’évaluation de la performance est insuffisante |
| Les contrôles fournisseurs et cloud sont faibles | Absence de revues de diligence raisonnable, de revue contractuelle, de planification de sortie ou de surveillance continue | Le contrôle opérationnel des services fournis par des tiers est incomplet |
| La réponse aux incidents n’est pas alignée sur les obligations de notification réglementaire | Absence de logique d’escalade à 24 ou 72 heures, absence d’arbre de décision DORA ou GDPR, absence de preuves d’exercices | La gestion des incidents n’est pas reliée aux notifications légales |
| Le processus CAPA est faible | Les constats sont clôturés par de simples modifications documentaires | La cause racine n’a pas été éliminée |
L’audit non concluant signale que le SMSI ne s’est pas adapté assez vite à l’environnement opérationnel réel de l’organisation.
ISO/IEC 27005:2022 est utile dans la reprise, car elle renforce l’importance d’établir le contexte à partir des exigences légales, réglementaires, sectorielles, contractuelles, internes et des contrôles existants. Elle soutient également des critères de risque qui tiennent compte des obligations légales, des fournisseurs, de la vie privée, des facteurs humains, des objectifs métier et de l’appétence au risque approuvée par la direction.
Concrètement, la reprise de transition commence par un contexte et des critères de risque actualisés, et non par un nouveau numéro de version sur un ancien document.
Étape 1 : geler l’enregistrement d’audit et créer un centre de pilotage de la reprise
La première erreur opérationnelle après un audit non concluant est le chaos des preuves. Les équipes commencent à fouiller les boîtes de réception, les partages de fichiers, les systèmes de ticketing, les messages de chat, les dossiers personnels et les anciens dossiers d’audit. Les auditeurs y voient un signe que le SMSI n’est pas maîtrisé.
La Politique d’audit et de surveillance de la conformité - PME de Clarysec est explicite sur le contrôle des preuves :
« Toutes les preuves doivent être stockées dans un dossier d’audit centralisé. »
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.2.1.
Ce dossier d’audit centralisé devient le poste de pilotage de la reprise. Il doit comprendre :
- Rapport et correspondance de l’organisme de certification.
- Confirmation du statut du certificat.
- Registre des non-conformités.
- Journal CAPA.
- Appréciation des risques mise à jour.
- Plan de traitement des risques mis à jour.
- Déclaration d’applicabilité mise à jour.
- Rapport d’audit interne.
- Comptes rendus de revue de direction.
- Enregistrements d’approbation des politiques.
- Preuves pour chaque contrôle applicable de l’Annexe A.
- Dossier d’assurance client, si des engagements commerciaux sont affectés.
Pour les environnements d’entreprise, la Politique d’audit et de surveillance de la conformité de Clarysec fixe la même attente de gouvernance :
« Tous les constats doivent donner lieu à une CAPA documentée comprenant : »
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.2.1.
Cette formulation introduit une exigence structurée d’action corrective. Le point essentiel est simple : chaque constat d’audit doit devenir un élément CAPA gouverné, et non une tâche informelle dans le carnet de quelqu’un.
Pour les PME, l’implication de la direction est tout aussi importante :
« Le DG doit approuver un plan d’action corrective et suivre sa mise en œuvre. »
Extrait de la Politique d’audit et de surveillance de la conformité - PME, section « Exigences de gouvernance », clause de politique 5.4.2.
C’est important, car ISO 27001:2022 ne traite pas le leadership comme symbolique. La direction doit établir la politique, aligner les objectifs sur la stratégie métier, fournir les ressources, communiquer l’importance de la sécurité de l’information, attribuer les responsabilités et promouvoir l’amélioration continue.
Si l’échec de transition est traité comme « le problème de la personne en charge de la conformité », le prochain audit exposera à nouveau une faible responsabilité de la direction.
Étape 2 : reconstruire le contexte, les obligations et les risques
Un audit de transition non concluant signifie souvent que le contexte du SMSI ne reflète plus la réalité de l’organisation. L’activité peut avoir migré vers des plateformes cloud, ajouté de nouveaux fournisseurs, pénétré des marchés réglementés, traité davantage de données à caractère personnel ou être devenue pertinente pour des clients soumis à NIS2 ou DORA. Si ces changements sont absents du SMSI, l’appréciation des risques et la SoA seront incomplètes.
La Politique de conformité juridique et réglementaire de Clarysec établit le référentiel de base :
« Toutes les obligations légales et réglementaires doivent être cartographiées vers des politiques, contrôles et propriétaires spécifiques au sein du système de management de la sécurité de l’information (SMSI). »
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.2.1.
Cette clause est critique après un échec de transition. Les clauses 4.1 à 4.3 d’ISO 27001:2022 exigent que les organisations tiennent compte des enjeux internes et externes, des parties intéressées, des exigences, des interfaces, des dépendances et du domaine d’application. Les obligations légales, réglementaires et contractuelles ne sont pas des notes annexes. Elles structurent le SMSI.
NIS2 Article 21 exige des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées, notamment l’analyse des risques, les politiques, la gestion des incidents, la sauvegarde, la reprise après sinistre, la gestion de crise, la sécurité de la chaîne d’approvisionnement, le développement sécurisé, la gestion des vulnérabilités, les évaluations d’efficacité, l’hygiène cyber, la formation, la cryptographie, la sécurité RH, le contrôle d’accès, la gestion des actifs et les communications sécurisées. L’Article 20 place la responsabilité au niveau de l’organe de direction. L’Article 23 instaure une notification échelonnée des incidents significatifs, comprenant l’alerte précoce, la notification d’incident, les mises à jour et le rapport final.
DORA s’applique directement aux entités financières depuis le 17 janvier 2025 et couvre la gestion des risques liés aux TIC, la notification des incidents majeurs, les tests de résilience, le risque lié aux prestataires TIC tiers, les exigences contractuelles et la supervision des prestataires tiers critiques de services TIC. Pour les entités financières dans le périmètre, DORA devient un moteur central de la gouvernance des TIC, du contrôle des fournisseurs, des tests, de la classification des incidents et de la responsabilité de la direction.
GDPR ajoute la responsabilité relative aux données à caractère personnel. L’Article 5 exige un traitement licite, loyal, transparent, limité, exact, tenant compte de la conservation et sécurisé, avec conformité démontrable. L’Article 4 définit la violation de données à caractère personnel d’une manière qui affecte directement la classification des incidents. L’Article 6 exige la cartographie des bases légales, et l’Article 9 ajoute des exigences renforcées pour les catégories particulières de données.
Cela ne signifie pas créer des univers de conformité séparés. Cela signifie utiliser ISO 27001:2022 comme système de management intégré et cartographier les obligations dans une architecture unique de risques et de contrôles.
La Politique de gestion des risques de Clarysec relie directement le traitement des risques à la sélection des contrôles :
« Les décisions relatives aux contrôles issues du processus de traitement des risques doivent être reflétées dans la SoA. »
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.5.1.
Un audit non concluant justifie également une revue du processus de gestion des risques lui-même. La Politique de gestion des risques - PME de Clarysec identifie ce déclencheur :
« Un incident majeur ou un constat d’audit révèle des lacunes dans la gestion des risques »
Extrait de la section « Exigences de revue et de mise à jour », clause de politique 9.2.1.1.
En mode reprise, cela signifie que le registre des risques, les critères de risque, le plan de traitement et la SoA doivent être reconstruits ensemble.
Étape 3 : remettre la SoA en ordre comme colonne vertébrale de la traçabilité
Dans la plupart des transitions non concluantes, la Déclaration d’applicabilité est le premier document à examiner. C’est aussi l’un des premiers documents échantillonnés par les auditeurs. Une SoA faible indique à l’auditeur que la sélection des contrôles n’est pas fondée sur les risques.
Le Zenith Blueprint fournit une instruction pratique dans la phase Audit, revue et amélioration, étape 24, Audit, revue et amélioration :
« Votre SoA doit être cohérente avec votre registre des risques et votre plan de traitement des risques. Vérifiez que chaque contrôle choisi comme traitement du risque est marqué “Applicable” dans la SoA. À l’inverse, si un contrôle est marqué “Applicable” dans la SoA, vous devez disposer d’une justification, généralement un risque cartographié, une exigence légale/réglementaire ou un besoin métier. »
Extrait de Zenith Blueprint : feuille de route d’audit en 30 étapes, phase Audit, revue et amélioration, étape 24.
C’est le principe de reprise. La SoA n’est pas une formalité. Elle est la colonne vertébrale de la traçabilité entre les risques, les obligations, les contrôles, les preuves de mise en œuvre et les conclusions d’audit.
Un exercice pratique de remise en ordre de la SoA doit suivre cette séquence :
- Exporter la SoA actuelle.
- Ajouter des colonnes pour l’ID du risque, l’obligation réglementaire, l’exigence métier, la référence de politique, l’emplacement des preuves, le propriétaire, l’état de mise en œuvre et la date du dernier test.
- Pour chaque contrôle applicable, cartographier au moins une justification défendable.
- Pour chaque contrôle exclu, rédiger une raison d’exclusion spécifique.
- Réconcilier la SoA avec le plan de traitement des risques.
- Réconcilier la SoA avec les résultats de l’audit interne.
- Poser la question difficile : si un auditeur échantillonne cette ligne, pouvons-nous le prouver en cinq minutes ?
Une ligne de SoA défendable doit ressembler à ceci :
| Champ SoA | Exemple d’entrée de reprise |
|---|---|
| Justification du contrôle | Applicable en raison de l’hébergement cloud, du prestataire de paiement, du support externalisé et des engagements contractuels de sécurité envers les clients |
| Lien avec le risque | R-014 interruption d’un service tiers, R-021 exposition de données par un fournisseur, R-027 manquement réglementaire dû à une défaillance du sous-traitant |
| Lien avec l’obligation | Sécurité de la chaîne d’approvisionnement NIS2, risque lié aux prestataires TIC tiers DORA lorsque applicable, responsabilité des sous-traitants au titre du GDPR |
| Lien avec la politique | Politique de sécurité des tiers et fournisseurs, procédure de revue contractuelle, liste de contrôle d’évaluation des fournisseurs |
| Preuves | Registre des fournisseurs, niveaux de risque, questionnaire de diligence raisonnable, accord de traitement des données signé, revue du rapport SOC, plan de sortie, enregistrement de revue annuelle |
| Propriétaire | Responsable fournisseurs, RSSI, Juridique |
| Tests | Échantillon d’audit interne des cinq principaux fournisseurs critiques achevé, exceptions consignées dans la CAPA |
| Statut | Mis en œuvre avec deux actions correctives ouvertes pour les mises à jour contractuelles |
Cette ligne raconte l’histoire de la reprise. Elle montre le contexte métier, la logique de risque, la pertinence réglementaire, la responsabilité, la mise en œuvre, les tests et les actions restantes.
Pour les exclusions, la même discipline s’applique. Par exemple, si l’organisation ne réalise aucun développement logiciel en interne, une exclusion du contrôle ISO/IEC 27002:2022 8.25 Cycle de vie de développement sécurisé et du contrôle 8.28 Programmation sécurisée peut être défendable, mais uniquement si cela est vrai, documenté et étayé par des preuves indiquant que le logiciel est commercial standard ou entièrement externalisé avec des contrôles fournisseurs en place.
Étape 4 : réaliser une analyse des causes racines, pas du maquillage documentaire
Un audit de transition non concluant est rarement dû à un seul fichier manquant. Il est généralement causé par un processus défaillant.
Le Zenith Blueprint, phase Audit, revue et amélioration, étape 27, Constats d’audit - analyse et cause racine, indique :
« Pour chaque non-conformité identifiée, majeure ou mineure, réfléchissez à la raison pour laquelle elle s’est produite : c’est essentiel pour une correction efficace. »
Extrait de Zenith Blueprint, phase Audit, revue et amélioration, étape 27.
Si le constat indique « les justifications de la SoA sont absentes », la correction peut consister à mettre à jour la SoA. Mais la cause racine peut être que les propriétaires d’actifs n’ont pas participé à l’appréciation des risques, que les obligations légales n’ont pas été cartographiées ou que l’équipe conformité a maintenu la SoA de manière isolée.
Un tableau de reprise utile distingue les corrections faibles des véritables actions correctives :
| Constat d’audit | Mauvaise correction | Bonne question de cause racine | Meilleure action corrective |
|---|---|---|---|
| SoA non alignée sur le traitement des risques | Mettre à jour la formulation de la SoA | Pourquoi la SoA n’a-t-elle pas été réconciliée avec le traitement des risques ? | Ajouter une réconciliation trimestrielle SoA-risques sous la responsabilité du responsable du SMSI |
| Absence d’évaluations fournisseurs | Téléverser un questionnaire | Pourquoi les fournisseurs n’ont-ils pas été revus ? | Désigner un responsable fournisseurs, définir une hiérarchisation des risques, achever les revues, surveiller annuellement |
| Revue de direction incomplète | Ajouter rétroactivement un point d’ordre du jour | Pourquoi la revue de direction ne couvrait-elle pas le statut de transition ? | Mettre à jour le modèle de revue de direction et planifier une revue trimestrielle de gouvernance |
| Notification des incidents non testée | Modifier la procédure d’incident | Pourquoi la notification n’a-t-elle pas été exercée ? | Réaliser un exercice sur table avec points de décision NIS2, DORA et GDPR et conserver les preuves |
| Audit interne trop étroit | Élargir la liste de contrôle | Pourquoi la planification de l’audit a-t-elle manqué le périmètre de transition ? | Approuver un plan d’audit fondé sur les risques couvrant réglementation, fournisseurs, cloud et résilience |
C’est ici que la crédibilité revient. Les auditeurs n’attendent pas la perfection. Ils attendent un système maîtrisé qui détecte, corrige, apprend et s’améliore.
Étape 5 : construire une CAPA à laquelle l’auditeur peut faire confiance
Les actions correctives et préventives sont le point par lequel de nombreuses organisations reprennent le contrôle. Le registre CAPA doit devenir la feuille de route de reprise et la preuve principale montrant que l’échec d’audit a été traité de manière systématique.
Le Zenith Blueprint, phase Audit, revue et amélioration, étape 29, Amélioration continue, explique la structure :
« Assurez-vous que chaque action corrective est spécifique, attribuable et limitée dans le temps. En substance, vous créez un mini-projet pour chaque problème. »
Extrait de Zenith Blueprint, phase Audit, revue et amélioration, étape 29.
Votre journal CAPA doit inclure :
- ID du constat.
- Audit source.
- Référence de clause ou de contrôle.
- Gravité.
- Description du problème.
- Correction immédiate.
- Cause racine.
- Action corrective.
- Action préventive, le cas échéant.
- Propriétaire.
- Date d’échéance.
- Preuves requises.
- Statut.
- Vérification d’efficacité.
- Approbation de la direction.
La Politique d’audit et de surveillance de la conformité - PME de Clarysec identifie également une non-conformité majeure comme déclencheur de revue :
« Un audit de certification ou un audit de surveillance entraîne une non-conformité majeure »
Extrait de la section « Exigences de revue et de mise à jour », clause de politique 9.2.2.
Si l’audit de transition a produit une non-conformité majeure, revoyez le processus d’audit et de surveillance de la conformité lui-même. Pourquoi l’audit interne n’a-t-il pas détecté le problème en premier ? Pourquoi la revue de direction ne l’a-t-elle pas escaladé ? Pourquoi la SoA n’a-t-elle pas révélé la lacune de preuves ?
C’est ainsi qu’un échec d’audit renforce le SMSI.
Étape 6 : utiliser Zenith Controls pour relier les preuves ISO à la conformité croisée
Un nouvel audit ne se déroule pas en vase clos. Les clients, autorités de régulation, assureurs et équipes internes de gouvernance peuvent tous examiner les mêmes preuves sous des angles différents. C’est là que Zenith Controls apporte de la valeur en tant que guide de conformité croisée. Il aide les équipes à cesser de traiter ISO 27001, NIS2, DORA, GDPR, l’assurance de type NIST et la gouvernance COBIT 2019 comme des listes de contrôle séparées.
Trois contrôles ISO/IEC 27002:2022 sont particulièrement pertinents dans la reprise de transition.
| Contrôle ISO/IEC 27002:2022 | Pertinence pour la reprise | Preuves à préparer |
|---|---|---|
| 5.31 Exigences légales, statutaires, réglementaires et contractuelles | Confirme que les obligations sont identifiées, documentées et reliées au SMSI | Registre juridique, obligations contractuelles, cartographie réglementaire, matrice politiques-propriétaires, justification SoA |
| 5.35 Revue indépendante de la sécurité de l’information | Confirme que l’activité de revue est objective, cadrée, compétente et suivie d’actions | Plan d’audit interne, rapport de revue indépendante, compétence de l’auditeur, enregistrements CAPA, rapports à la direction |
| 5.36 Conformité aux politiques, règles et normes de sécurité de l’information | Confirme que les politiques ne sont pas seulement publiées, mais surveillées et appliquées | Attestation de politique, registres des dérogations, rapports de surveillance, processus disciplinaire, tests de conformité |
Dans Zenith Controls, le contrôle ISO/IEC 27002:2022 5.31 est relié directement à la vie privée et aux informations d’identification personnelle (PII) :
« 5.34 couvre la conformité aux lois sur la protection des données, par exemple GDPR, qui constitue une catégorie d’exigences légales au titre de 5.31. »
Extrait de Zenith Controls, contrôle 5.31, liens avec d’autres contrôles.
Pour la reprise, cela signifie que le registre juridique ne doit pas rester en dehors du SMSI. Il doit piloter la SoA, le plan de traitement des risques, l’ensemble de politiques, la responsabilité des contrôles et les preuves d’audit.
Pour le contrôle ISO/IEC 27002:2022 5.35, Zenith Controls souligne que la revue indépendante atteint souvent les preuves opérationnelles :
« Les revues indépendantes menées au titre de 5.35 évaluent fréquemment l’adéquation des activités de journalisation et de surveillance. »
Extrait de Zenith Controls, contrôle 5.35, liens avec d’autres contrôles.
C’est concret. Un auditeur peut commencer par la gouvernance puis échantillonner les journaux, alertes, enregistrements de surveillance, revues d’accès, tickets d’incident, tests de sauvegarde, revues fournisseurs et décisions de direction.
Pour le contrôle ISO/IEC 27002:2022 5.36, Zenith Controls explique la relation avec la gouvernance interne des politiques :
« Le contrôle 5.36 sert de mécanisme d’application pour les règles définies au titre de 5.1. »
Extrait de Zenith Controls, contrôle 5.36, liens avec d’autres contrôles.
C’est là que de nombreux programmes de transition échouent. Les politiques existent, mais leur conformité n’est pas surveillée. Les procédures existent, mais les exceptions ne sont pas capturées. Les contrôles sont déclarés, mais non testés.
Étape 7 : se préparer aux différentes perspectives d’audit
Un dossier de reprise solide doit résister à plus d’une perspective d’auditeur. Les auditeurs de certification ISO, superviseurs DORA, réviseurs NIS2, parties prenantes GDPR, équipes d’assurance client, évaluateurs orientés NIST et réviseurs de gouvernance COBIT 2019 peuvent tous poser des questions différentes sur les mêmes preuves.
| Perspective de l’auditeur | Question probable | Preuves utiles |
|---|---|---|
| Auditeur ISO 27001:2022 | Le SMSI est-il efficace, fondé sur les risques, correctement cadré, revu par la direction et amélioré en continu ? | Domaine d’application, contexte, parties intéressées, appréciation des risques, SoA, plan de traitement, audit interne, revue de direction, CAPA |
| Évaluateur orienté NIST | Les activités de gouvernance, d’identification des risques, de protection, de détection, de réponse et de rétablissement fonctionnent-elles de manière cohérente ? | Inventaire des actifs, registre des risques, contrôles d’accès, journalisation, surveillance, guides opérationnels d’incident, tests de rétablissement |
| Auditeur COBIT 2019 ou de type ISACA | Les objectifs de gouvernance, la responsabilité, la surveillance de la performance, la gestion des risques et l’assurance de conformité sont-ils intégrés ? | RACI, objectifs approuvés, indicateurs, plan d’audit, rapports à la direction, responsabilité des contrôles, suivi des problèmes |
| Réviseur conformité NIS2 | La direction a-t-elle approuvé et supervisé des mesures proportionnées de gestion des risques de cybersécurité et des processus de notification des incidents ? | Comptes rendus du conseil, mesures de traitement des risques, contrôles fournisseurs, escalade d’incident, formation, preuves de continuité et de crise |
| Réviseur DORA | La gestion des risques liés aux TIC est-elle documentée, testée, consciente des fournisseurs et intégrée à la gouvernance ? | Cadre de risques TIC, tests de résilience, classification des incidents, registre des contrats TIC, plans de sortie, droits d’audit |
| Réviseur GDPR | L’organisation peut-elle démontrer sa responsabilité en matière de protection des données à caractère personnel et de réponse aux violations ? | Registre des activités de traitement, cartographie des bases légales, AIPD si nécessaire, contrats de sous-traitance, journaux de violations, mesures techniques et organisationnelles |
L’objectif n’est pas de dupliquer les preuves. Une seule ligne de SoA relative à la journalisation et à la surveillance peut soutenir les preuves ISO, les attentes de détection de type NIST, la gestion des incidents DORA, l’évaluation d’efficacité NIS2 et la détection des violations GDPR. Un seul dossier de risque fournisseur peut soutenir les contrôles fournisseurs ISO, le risque lié aux prestataires TIC tiers DORA, la sécurité de la chaîne d’approvisionnement NIS2 et la responsabilité des sous-traitants au titre du GDPR.
C’est la valeur pratique de la conformité croisée.
Étape 8 : réaliser une revue documentaire finale et un audit à blanc
Avant de revenir vers l’organisme de certification, organisez une revue interne exigeante. Le Zenith Blueprint, phase Audit, revue et amélioration, étape 30, Préparation à la certification - revue finale et audit à blanc, recommande de vérifier une à une les clauses 4 à 10 d’ISO 27001:2022 et de valider les preuves pour chaque contrôle applicable de l’Annexe A.
Il conseille :
« Vérifiez les contrôles de l’Annexe A : assurez-vous que, pour chaque contrôle que vous avez marqué “Applicable” dans la SoA, vous avez quelque chose à présenter. »
Extrait de Zenith Blueprint, phase Audit, revue et amélioration, étape 30.
La revue finale doit être directe :
- Chaque contrôle applicable peut-il être expliqué ?
- Chaque contrôle exclu peut-il être justifié ?
- L’acceptation du risque résiduel peut-elle être démontrée ?
- La direction a-t-elle revu l’échec de transition, les ressources, les objectifs, les résultats d’audit et les actions correctives ?
- L’audit interne a-t-il testé la SoA et le plan de traitement des risques mis à jour ?
- Les contrôles fournisseurs, cloud, continuité, incidents, vie privée, accès, vulnérabilités, journalisation et surveillance sont-ils étayés par des preuves ?
- Les politiques sont-elles approuvées, à jour, communiquées et sous gestion des versions ?
- Les CAPA sont-elles liées aux causes racines et aux vérifications d’efficacité ?
- Les preuves peuvent-elles être trouvées rapidement dans le dossier d’audit centralisé ?
La Politique de sécurité de l’information de Clarysec fournit le référentiel de gouvernance :
« L’organisation doit mettre en œuvre et maintenir un système de management de la sécurité de l’information (SMSI) conformément aux clauses 4 à 10 d’ISO/IEC 27001:2022. »
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.1.1.
Pour les PME, la revue doit aussi suivre les exigences de certification et les évolutions réglementaires. La Politique de sécurité de l’information - PME de Clarysec indique :
« Cette politique doit être revue par le Directeur général (DG) au moins une fois par an afin de garantir la conformité continue aux exigences de certification ISO/IEC 27001, aux évolutions réglementaires telles que GDPR, NIS2 et DORA, ainsi qu’aux besoins métier en évolution. »
Extrait de la section « Exigences de revue et de mise à jour », clause de politique 9.1.1.
C’est exactement ce que de nombreux programmes de transition ont manqué : ISO, réglementation et évolution métier avancent ensemble.
Que dire aux clients pendant la reprise
Si une transition non concluante ou manquée affecte les contrats clients, le silence est dangereux. Il n’est pas nécessaire de divulguer chaque détail d’audit interne, mais vous devez fournir une assurance maîtrisée.
Un dossier de communication client doit inclure :
- Statut actuel de certification confirmé par l’organisme de certification.
- Statut de l’audit de transition et plan de remédiation de haut niveau.
- Confirmation qu’un processus CAPA est actif et approuvé par la direction.
- Dates cibles des actions correctives et de la clôture d’audit.
- Déclaration indiquant que le SMSI reste opérationnel.
- Point de contact pour l’assurance sécurité.
- Déclaration de politique de sécurité mise à jour, le cas échéant.
- Preuves de contrôles compensatoires pour toute zone à haut risque.
Évitez les affirmations vagues telles que « nous sommes pleinement conformes » tant que l’audit n’est pas résolu. Dites ce qui est vrai : le SMSI fonctionne, l’action corrective est approuvée, les preuves sont en cours de consolidation et une revue de clôture ou un nouvel audit est planifié.
C’est particulièrement important si des clients s’appuient sur vous en tant que fournisseur dans des secteurs concernés par NIS2, tels que l’infrastructure numérique, le cloud, les centres de données, les réseaux de diffusion de contenu, DNS, les services de confiance, les communications électroniques publiques, les services managés ou les services de sécurité managés. Si votre statut d’audit affecte leur risque lié à la chaîne d’approvisionnement, ils ont besoin d’une assurance crédible.
Un sprint pratique de reprise en 10 jours
Les délais varient selon l’organisme de certification, la gravité, le périmètre et la maturité des preuves. Mais la séquence de reprise est fiable.
| Jour | Activité | Livrable |
|---|---|---|
| 1 | Collecter le rapport d’audit, confirmer le statut du certificat, ouvrir le dossier d’audit centralisé | Centre de pilotage de la reprise |
| 2 | Classer les constats, attribuer les propriétaires, informer la direction | Gouvernance de reprise approuvée |
| 3 | Actualiser le contexte, les obligations, les parties intéressées et les hypothèses de domaine d’application | Contexte et cartographie de conformité mis à jour |
| 4 | Réconcilier l’appréciation des risques et le plan de traitement des risques | Registre des risques et plan de traitement mis à jour |
| 5 | Remettre en ordre la SoA avec justification, exclusions, preuves et propriétaires | SoA prête pour l’audit |
| 6 | Réaliser l’analyse des causes racines pour tous les constats | Journal des causes racines |
| 7 | Construire le plan CAPA avec dates cibles et exigences de preuves | Registre CAPA |
| 8 | Collecter et tester les preuves des contrôles prioritaires | Dossier de preuves |
| 9 | Réaliser la revue de direction et approuver les risques résiduels | Comptes rendus de revue de direction |
| 10 | Réaliser l’audit à blanc et préparer la réponse à l’organisme de certification | Dossier de préparation au nouvel audit |
Ne soumettez pas la réponse tant qu’elle ne raconte pas une histoire cohérente. L’auditeur doit pouvoir suivre la chaîne du constat à la cause racine, de la cause racine à l’action corrective, de l’action corrective aux preuves, et des preuves à la revue de direction.
Le processus de reprise Clarysec
Lorsque Clarysec accompagne une transition ISO 27001:2022 manquée ou non concluante, nous organisons les travaux dans un processus de reprise ciblé.
| Phase de reprise | Actif Clarysec | Livrable |
|---|---|---|
| Triage d’audit | Zenith Blueprint étapes 24, 27, 29, 30 | Classification des constats, cartographie des preuves, plan de clôture d’audit |
| Réinitialisation de la gouvernance | Politique de sécurité de l’information, Politique d’audit et de surveillance de la conformité | Responsabilités approuvées, implication de la direction, dossier de preuves centralisé |
| Actualisation des risques | Politique de gestion des risques, méthode ISO/IEC 27005:2022 | Contexte, critères, registre des risques et plan de traitement mis à jour |
| Remise en ordre de la SoA | Zenith Blueprint étape 24, Politique de gestion des risques | SoA traçable avec risque, obligation, propriétaire, preuves et statut |
| Cartographie de conformité croisée | Zenith Controls | Alignement d’assurance NIS2, DORA, GDPR, de type NIST et COBIT 2019 |
| Exécution des CAPA | Zenith Blueprint étape 29, politiques d’audit | Cause racine, action corrective, propriétaire, échéance, vérification d’efficacité |
| Audit à blanc | Zenith Blueprint étape 30 | Dossier de préparation au nouvel audit et dossier d’assurance client |
Il ne s’agit pas de fabriquer de la documentation. Il s’agit de rétablir la confiance dans un SMSI gouverné, fondé sur les risques, étayé par des preuves et en amélioration.
Dernier conseil : traiter l’échec de transition comme un test de résistance
Une échéance de transition ISO 27001:2022 manquée ou un audit de transition non concluant ressemble à une crise, mais c’est aussi une opportunité de diagnostic. Cela montre si votre SMSI peut absorber le changement, intégrer les obligations légales, gérer les fournisseurs, prouver le fonctionnement des contrôles et apprendre de l’échec.
Les organisations qui se rétablissent le plus rapidement font bien trois choses :
- Elles centralisent les preuves et mettent fin au chaos.
- Elles reconstruisent la traçabilité entre risques, SoA, contrôles, politiques et obligations.
- Elles traitent les constats d’audit au moyen de CAPA disciplinées et de revues de direction.
Les organisations en difficulté tentent de résoudre le problème en modifiant des documents sans corriger la responsabilité, la surveillance, les preuves ou la cause racine.
Si vous avez manqué l’échéance ou si votre audit de transition n’a pas abouti, l’étape suivante n’est pas la panique. C’est une reprise structurée.
Clarysec peut vous aider à réaliser le triage de l’audit de transition, reconstruire votre SoA, cartographier les attentes NIS2, DORA, GDPR, de type NIST et COBIT 2019 avec Zenith Controls, exécuter les actions correctives avec Zenith Blueprint, et aligner les preuves des politiques à l’aide de la Politique de sécurité de l’information, de la Politique d’audit et de surveillance de la conformité, de la Politique de gestion des risques et de la Politique de conformité juridique et réglementaire.
Votre problème de certificat peut être corrigé. Votre SMSI peut devenir plus solide qu’il ne l’était avant l’audit. Si votre audit de transition n’est pas résolu, lancez dès maintenant l’évaluation de reprise, consolidez vos preuves et préparez un dossier de nouvel audit qui prouve que votre SMSI n’est pas seulement documenté, mais opérationnel.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
