Audit interne ISO 27001 pour NIS2 et DORA
C’est la première réunion du comité d’audit de 2026. Sarah, RSSI de FinSecure, éditeur SaaS et fintech en forte croissance, dispose de quinze minutes à l’ordre du jour. Le conseil d’administration a cinq questions.
Sommes-nous prêts pour notre audit de surveillance ISO/IEC 27001:2022 ? Sommes-nous dans le périmètre d’application de NIS2 en tant que prestataire de services gérés ? DORA nous concerne-t-il parce que nous accompagnons des clients du secteur financier ? Pouvons-nous démontrer que le signalement des incidents, les diligences préalables fournisseurs et la continuité d’activité fonctionnent effectivement ? Et pourquoi la revue d’accès du trimestre précédent a-t-elle encore identifié des comptes qui auraient dû être supprimés ?
Sarah dispose d’éléments de preuve, mais ils sont dispersés. L’ingénierie a des exports de scans de vulnérabilités. Les achats ont des questionnaires fournisseurs. Le juridique a des clauses contractuelles. Le responsable conformité a un outil de suivi GDPR. Le SOC a des tickets d’incident. Rien n’est manifestement incorrect, mais rien ne raconte une histoire d’assurance cohérente.
C’est le moment où un programme d’audit interne ISO 27001 devient soit un moteur stratégique d’éléments de preuve, soit une course annuelle de dernière minute.
Pour les organisations concernées par NIS2 et DORA, l’audit interne ne peut plus être une liste de contrôle formelle. Il doit devenir un système d’assurance fondé sur les risques qui confirme que le domaine d’application du SMSI est correct, que les contrôles fonctionnent en pratique, que les exigences réglementaires sont cartographiées, que les constats sont classifiés de manière cohérente et que les actions correctives remontent jusqu’à la revue de direction. En 2026, les programmes les plus solides ne demanderont pas seulement : « Avons-nous réalisé un audit ? » Ils demanderont : « Pouvons-nous démontrer, mois après mois, que la gouvernance cybersécurité, la résilience TIC, la sécurité des fournisseurs et la préparation aux incidents fonctionnent ? »
C’est l’approche que Clarysec intègre dans Zenith Blueprint: An Auditor’s 30-Step Roadmap, Zenith Controls: The Cross-Compliance Guide et la suite de politiques Clarysec. L’objectif n’est pas de créer des projets ISO, NIS2 et DORA séparés. L’objectif est d’enrichir le SMSI afin qu’un seul programme d’audit produise des éléments de preuve réutilisables pour plusieurs besoins d’assurance.
Pourquoi les programmes d’audit interne 2026 doivent évoluer
NIS2 et DORA ont déplacé le débat d’audit : il ne porte plus seulement sur la documentation, mais sur une résilience gouvernée.
NIS2 s’applique à de nombreuses organisations moyennes et grandes dans des secteurs critiques et importants, notamment les infrastructures numériques, les fournisseurs de services cloud, les fournisseurs de centres de données, les prestataires de services gérés, les prestataires de services de sécurité gérés, les places de marché en ligne, les moteurs de recherche en ligne et les plateformes de réseaux sociaux. Les États membres ont commencé à appliquer les mesures nationales à partir d’octobre 2024 et, en 2026, de nombreuses organisations opèrent dans la première année complète d’attentes NIS2 parvenues à maturité.
DORA s’applique depuis le 17 janvier 2025 à un large éventail d’entités financières, notamment les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d’investissement, les prestataires de services sur crypto-actifs, les entreprises d’assurance et de réassurance, les prestataires de services de financement participatif et les prestataires tiers de services TIC pertinents. DORA constitue le régime sectoriel de résilience opérationnelle numérique applicable aux entités financières couvertes. Les prestataires TIC qui servent des entités financières peuvent également être concernés par DORA à travers les contrats, les droits d’audit, la participation aux tests, l’appui aux incidents, les contrôles de sous-traitance et les exigences de sortie.
Les deux réglementations renforcent la responsabilité. NIS2 Article 20 exige que les organes de direction approuvent et supervisent les mesures de gestion des risques de cybersécurité et reçoivent une formation en cybersécurité. DORA Article 5 rend l’organe de direction ultimement responsable du risque TIC, y compris l’approbation et la supervision de la stratégie de résilience opérationnelle numérique, des politiques TIC, des dispositifs de continuité et des risques liés aux tiers.
ISO 27001 est bien adaptée à cet environnement parce qu’il s’agit d’un système de management. Elle exige que l’organisation comprenne son contexte, définisse les parties intéressées et leurs exigences, établisse le domaine d’application du SMSI, apprécie et traite les risques, surveille la performance, réalise des audits internes et pilote l’amélioration continue. Il ne s’agit pas de faire entrer NIS2 et DORA de force dans un cadre ISO. Il s’agit d’utiliser ISO 27001 comme système d’exploitation pour une assurance répétable.
Commencer par le périmètre : auditer le système sur lequel le conseil s’appuie
Un programme d’audit interne faible commence par un périmètre vague tel que « sécurité de l’information ». Un programme solide commence par la frontière métier et réglementaire.
ISO 27001 exige que le domaine d’application du SMSI tienne compte des enjeux internes et externes, des exigences des parties intéressées, ainsi que des interfaces ou dépendances avec d’autres organisations. C’est essentiel, car les obligations NIS2 et DORA se situent souvent aux frontières de l’organisation : plateformes cloud, SOC externalisé, détection et réponse managées, systèmes de paiement, interfaces de programmation d’applications (API) fintech, traitement de données clients, services de sauvegarde et partenaires d’escalade des incidents.
La Politique d’audit et de surveillance de la conformité SME de Clarysec fixe le socle de gouvernance :
Le directeur général (DG) doit approuver un plan d’audit annuel.
Extrait de la section « Exigences de gouvernance », clause de politique 5.1.1.
Pour les environnements plus vastes, la Politique d’audit et de surveillance de la conformité de Clarysec relève le niveau d’exigence :
Un plan d’audit fondé sur les risques doit être élaboré et approuvé chaque année, en tenant compte des éléments suivants :
Extrait de la section « Exigences de gouvernance », clause de politique 5.2.
Le périmètre n’est donc pas une simple préférence de l’auditeur. C’est un engagement d’assurance approuvé par la direction.
Un programme d’audit interne ISO 27001 2026 soutenant NIS2 et DORA devrait inclure :
- Les clauses et processus du SMSI, notamment le contexte, le leadership, la gestion des risques, les objectifs, les fonctions support, les opérations, l’évaluation de la performance et l’amélioration.
- Les domaines de contrôle pertinents de l’Annexe A ISO/IEC 27001:2022, notamment les relations avec les fournisseurs, la gestion des incidents, la continuité d’activité, les obligations légales, la vie privée, la journalisation, la surveillance, la gestion des vulnérabilités, le contrôle d’accès, la cryptographie, le développement sécurisé, la gestion des changements et la gouvernance du cloud.
- Les surcouches réglementaires, notamment NIS2 Articles 20, 21 et 23, DORA Articles 5, 6, 8 à 14, 17 à 19, 24 à 27 et 28 à 30, ainsi que les exigences de sécurité et de responsabilité prévues par GDPR.
- Les services clés et les processus opérationnels, en particulier les fonctions critiques ou importantes, les services essentiels, les plateformes orientées clients et les systèmes soutenant des clients réglementés.
- Les dépendances vis-à-vis de tiers, notamment les fournisseurs TIC, les fournisseurs cloud, le développement externalisé, le SOC, les MSSP, les sous-traitants de traitement de données et les sous-traitants critiques.
- Les processus générateurs d’éléments de preuve, notamment les appréciations des risques, les revues d’accès, la remédiation des vulnérabilités, les exercices de gestion des incidents, les tests de restauration des sauvegardes, les revues fournisseurs, les tests de continuité et les revues de direction.
Le Zenith Blueprint renforce cette approche dans la phase Audit, revue et amélioration, étape 25, Programme d’audit interne :
Définissez le périmètre de votre programme d’audit interne. En définitive, sur une année, vous devez couvrir tous les processus et contrôles pertinents du SMSI.
Extrait de la phase Audit, revue et amélioration, étape 25 : Programme d’audit interne.
Il n’est pas nécessaire de tout auditer chaque mois. Mais sur le cycle annuel, vous devez couvrir tous les processus et contrôles pertinents du SMSI, avec des travaux plus fréquents sur les domaines à haut risque et réglementés.
Construire l’univers d’audit autour des thèmes de contrôle NIS2 et DORA
NIS2 Article 21 exige des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées. Son socle comprend l’analyse des risques, les politiques de sécurité, la gestion des incidents, la continuité d’activité, la gestion des sauvegardes, la reprise après sinistre, la gestion de crise, la sécurité de la chaîne d’approvisionnement, l’acquisition et le développement sécurisés, la gestion des vulnérabilités, l’évaluation de l’efficacité, l’hygiène cyber, la formation, la cryptographie, la sécurité RH, le contrôle d’accès, la gestion des actifs, l’authentification multifacteur ou l’authentification continue lorsque cela est approprié, ainsi que les communications sécurisées.
DORA suit un cycle opérationnel similaire. Il exige des entités financières qu’elles identifient et classifient les fonctions métier soutenues par les TIC, les actifs informationnels, les actifs TIC, les dépendances et les interconnexions avec des tiers. Il exige également la protection, la détection, la classification des incidents, la réponse, le rétablissement, la sauvegarde, la restauration, les tests, le retour d’expérience post-incident, la communication et la gestion des risques liés aux tiers TIC.
Un univers d’audit unifié évite l’erreur courante qui consiste à auditer ISO 27001 séparément de NIS2 et DORA.
| Domaine d’audit | Ancrage d’audit ISO 27001 | Pertinence NIS2 et DORA | Éléments de preuve types |
|---|---|---|---|
| Gouvernance et obligations légales | Contexte, leadership, traitement des risques, exigences légales et contractuelles | Supervision du conseil sous NIS2, responsabilité de l’organe de direction sous DORA, responsabilité GDPR | Registre juridique, registre des parties intéressées, domaine d’application du SMSI, appétence au risque, comptes rendus du conseil, revue de direction |
| Appréciation et traitement des risques | Appréciation des risques, Déclaration d’applicabilité, plan de traitement des risques | Mesures appropriées et proportionnées NIS2, cadre de gestion des risques TIC DORA | Registre des risques, critères de risque, approbations de traitement, acceptation du risque résiduel |
| Inventaire des actifs et des dépendances | Gestion des actifs, gouvernance des services cloud, services fournisseurs | Actifs TIC et interconnexions DORA, systèmes de fourniture de services NIS2 | CMDB, cartographies des flux de données, registre des fournisseurs, inventaire cloud, classification de criticité |
| Contrôle d’accès et identité | Sécurité RH, gestion des accès, authentification multifacteur, accès à privilèges | Contrôle d’accès et MFA NIS2, moindre privilège et authentification forte DORA | Tickets d’arrivées, mobilités et départs, revues d’accès, rapports MFA, journaux de comptes à privilèges |
| Journalisation, surveillance et détection | Journalisation, surveillance, évaluation des événements | Détection d’anomalies et classification des incidents DORA, préparation aux incidents NIS2 | Alertes SIEM, règles de détection, enregistrements de triage des incidents, tableaux de bord de supervision |
| Gestion des incidents | Planification des incidents, réponse, collecte des éléments de preuve, enseignements tirés | Workflow de notification NIS2, cycle de vie des incidents TIC DORA | Journal des incidents, matrice de gravité, modèles de notification, rapports d’analyse de la cause racine, enregistrements d’exercice |
| Continuité d’activité et rétablissement | Préparation TIC, sauvegardes, sécurité en cas de perturbation | Sauvegarde et gestion de crise NIS2, continuité et rétablissement DORA | BIA, plans de continuité, tests de sauvegarde, enregistrements RTO et RPO, test de communication de crise |
| Risques fournisseurs et tiers TIC | Accords fournisseurs, chaîne d’approvisionnement TIC, acquisition cloud et sortie | Sécurité de la chaîne d’approvisionnement NIS2, registre des tiers TIC et clauses contractuelles DORA | Diligences préalables fournisseurs, contrats, droits d’audit, plans de sortie, analyse du risque de concentration |
| Développement sécurisé et vulnérabilités | Acquisition sécurisée, développement, changement, gestion des vulnérabilités | Gestion des vulnérabilités NIS2, application des correctifs et tests DORA | Scans de vulnérabilités, SLA de remédiation, tickets de changement, revue de code, rapports de tests d’intrusion |
| Surveillance de la conformité et actions correctives | Surveillance, audit interne, non-conformité et action corrective | Mesures correctives NIS2, audit et suivi de remédiation DORA | Rapports d’audit, outil de suivi CAPA, tableau de bord KPI, actions de revue de direction |
Cette structure transforme chaque domaine d’audit en objet d’assurance partagé. L’auditeur interne teste l’exigence ISO 27001, puis consigne si les mêmes éléments de preuve soutiennent également les attentes NIS2, DORA, GDPR, NIST CSF et COBIT 2019.
Planifier l’année autour du risque, pas de la paperasse
Le Zenith Blueprint fournit aux équipes une séquence pratique pour transformer l’audit en amélioration :
- Étape 25, Programme d’audit interne : planifier le périmètre, la fréquence, l’indépendance et les priorités fondées sur les risques.
- Étape 26, Exécution de l’audit : collecter des éléments de preuve objectifs au moyen d’entretiens, de revues documentaires, d’observations et d’échantillonnage.
- Étape 27, Constats d’audit, analyse et cause racine : classifier les constats et identifier la cause racine.
- Étape 28, Revue de direction : intégrer les résultats d’audit, incidents, non-conformités, objectifs, risques et besoins en ressources dans la revue de direction.
- Étape 29, Amélioration continue : construire des actions correctives qui éliminent les causes, et pas seulement les symptômes.
Le Zenith Blueprint est explicite sur l’indépendance :
Idéalement, l’auditeur interne ne devrait pas auditer son propre travail.
Extrait de la phase Audit, revue et amélioration, étape 25 : Programme d’audit interne.
Pour une petite entreprise SaaS ou fintech, cela peut signifier demander à un responsable d’une autre fonction d’auditer les processus de sécurité, faire tourner les responsables de contrôle ou recourir à un consultant externe. L’essentiel est de documenter la compétence et l’indépendance, en particulier lorsque les éléments de preuve NIS2 et DORA pourront ensuite être examinés par des clients, des autorités de régulation, des autorités de supervision ou des auditeurs externes.
La Politique d’audit et de surveillance de la conformité SME définit également la structure minimale de l’audit :
Chaque audit doit inclure un périmètre défini, des objectifs, les personnels responsables et les éléments de preuve requis.
Extrait de la section « Exigences de gouvernance », clause de politique 5.2.3.
Une structure trimestrielle pratique pour un fournisseur SaaS ou TIC à forte croissance pourrait être la suivante :
| Trimestre | Domaine d’audit principal | Accent réglementaire | Principaux livrables |
|---|---|---|---|
| T1 | Gestion et signalement des incidents | NIS2 Article 23, DORA Articles 17 à 19 | Rapport d’audit des incidents, test du workflow de notification, revue de la matrice de gravité |
| T2 | Gestion des risques liés aux tiers TIC | NIS2 Article 21, DORA Articles 28 à 30 | Échantillon fournisseurs, revue contractuelle, éléments de preuve de diligence raisonnable, revue de planification de sortie |
| T3 | Tests de continuité d’activité et de résilience | NIS2 Article 21, DORA Articles 11, 12, 24 à 27 | Éléments de preuve de restauration des sauvegardes, exercice de continuité, remédiation issue des tests de résilience |
| T4 | Gouvernance, risques et conformité | NIS2 Article 20, DORA Articles 5 et 6, clauses ISO 27001 5, 9 et 10 | Dossier de revue de direction, statut CAPA, décisions relatives au risque résiduel, plan d’audit de l’année suivante |
Cela ne remplace pas la collecte mensuelle d’éléments de preuve. Cela donne à l’année un rythme d’assurance clair.
Échantillonnage : quel volume d’éléments de preuve est suffisant ?
L’échantillonnage est le point où de nombreux audits internes deviennent soit trop superficiels, soit trop coûteux. Dans les environnements TIC réglementés, l’échantillonnage doit être fondé sur les risques, explicable et documenté.
Le Zenith Blueprint, étape 26, énonce le principe pratique :
Échantillonnez et effectuez des contrôles ponctuels : vous ne pouvez pas tout vérifier, utilisez donc l’échantillonnage.
Extrait de la phase Audit, revue et amélioration, étape 26 : Exécution de l’audit.
La politique d’entreprise de Clarysec rend cela auditable :
Documentation de la stratégie d’échantillonnage, du périmètre d’audit et des limites
Extrait de la section « Exigences de gouvernance », clause de politique 5.5.3.
Pour NIS2 et DORA, l’échantillonnage doit tenir compte de la criticité, du risque, de l’importance du fournisseur, de la période couverte, de l’historique des incidents, de la géographie et du fait que le processus échantillonné soutient ou non des fonctions critiques ou importantes.
| Domaine de contrôle | Population | Échantillon suggéré | Ajustement fondé sur les risques |
|---|---|---|---|
| Provisionnement des accès | Tous les nouveaux comptes utilisateurs du trimestre | 10 comptes ou 10 %, selon le plus élevé des deux | Inclure tous les comptes à privilèges et les administrateurs d’applications critiques |
| Suppression des accès des sortants | Tous les utilisateurs ayant quitté l’organisation au cours du trimestre | 100 % pour les utilisateurs à privilèges, 10 utilisateurs standards | Augmenter l’échantillon si l’intégration RH ou IAM a changé |
| Diligences préalables fournisseurs | Fournisseurs TIC actifs | Tous les fournisseurs critiques, 5 fournisseurs à risque moyen, 3 fournisseurs à faible risque | Inclure les fournisseurs soutenant des clients financiers ou des services essentiels |
| Remédiation des vulnérabilités | Constats critiques et élevés clôturés au cours du trimestre | 15 tickets répartis sur plusieurs systèmes | Inclure les systèmes exposés à Internet et les exceptions récurrentes |
| Gestion des incidents | Tous les incidents de sécurité du trimestre | Tous les incidents majeurs, 5 incidents mineurs, 3 exemples de triage de faux positifs | Inclure les incidents comportant des données à caractère personnel, un impact client ou une portée transfrontalière |
| Restauration des sauvegardes | Tests de sauvegarde réalisés au cours du trimestre | Tous les tests de systèmes critiques, 3 systèmes non critiques | Inclure les systèmes soutenant des fonctions critiques ou importantes |
| Gestion des changements | Changements de production du trimestre | 15 changements, y compris des changements d’urgence | Inclure les changements affectant l’authentification, la journalisation, le chiffrement ou les données clients |
| Formation à la sécurité | Employés et prestataires actifs sur la période | 20 utilisateurs répartis entre les services | Inclure les membres de l’organe de direction et les rôles techniques à privilèges |
Pour les environnements concernés par DORA, les éléments de preuve de test méritent une attention particulière. DORA exige des tests de résilience opérationnelle numérique pour les entités financières, avec des tests plus avancés tels que des tests d’intrusion guidés par la menace pour certaines entités, au moins tous les trois ans. Votre échantillon d’audit doit inclure non seulement les rapports de test, mais aussi les éléments de preuve montrant que les constats ont été priorisés, corrigés et retestés.
Exemple d’audit pratique : risque lié aux tiers TIC
La sécurité des fournisseurs est souvent le moyen le plus rapide de révéler les écarts entre documentation et réalité opérationnelle. DORA Articles 28 à 30 exigent une gestion des risques liés aux tiers TIC, un contenu contractuel et des registres d’information. NIS2 Article 21 exige une sécurité de la chaîne d’approvisionnement tenant compte des vulnérabilités et des pratiques des fournisseurs directs.
Pour un audit T2, Sarah échantillonne cinq fournisseurs critiques, trois nouveaux fournisseurs intégrés au cours des six derniers mois et deux fournisseurs dont les contrats ont été récemment renouvelés. L’auditeur interroge les achats, le juridique, les responsables de service et les responsables de contrôle sécurité.
| Exigence DORA ou NIS2 | Ancrage de contrôle ISO 27001:2022 | Question d’audit | Éléments de preuve à collecter |
|---|---|---|---|
| DORA Article 28, registre des tiers TIC | A.5.19 Sécurité de l’information dans les relations avec les fournisseurs | Existe-t-il un registre complet et à jour des arrangements avec les prestataires tiers TIC ? | Registre fournisseurs en production et enregistrements échantillonnés de fournisseurs critiques |
| DORA Article 28, appréciation des risques précontractuelle | A.5.19 Sécurité de l’information dans les relations avec les fournisseurs | Des diligences préalables ont-elles été réalisées avant la signature ou le renouvellement des contrats fournisseurs ? | Rapports de diligence raisonnable, appréciations des risques et enregistrements d’approbation |
| DORA Article 30, contenu contractuel | A.5.20 Prise en compte de la sécurité de l’information dans les accords fournisseurs | Les contrats incluent-ils, lorsque requis, des mesures de sécurité, des droits d’audit, une assistance en cas d’incident et un support à la résiliation ? | Contrats, avenants, annexes de sécurité et notes de revue juridique |
| NIS2 Article 21, sécurité de la chaîne d’approvisionnement | A.5.21 Gestion de la sécurité de l’information dans la chaîne d’approvisionnement TIC | Les pratiques de sécurité des fournisseurs, la sous-traitance et les dépendances de service sont-elles comprises ? | Questionnaires fournisseurs, déclarations de sous-traitants et cartographies des dépendances |
| Surveillance continue des fournisseurs | A.5.22 Surveillance, revue et gestion des changements des services fournisseurs | La performance et la sécurité des fournisseurs sont-elles examinées dans la durée ? | Comptes rendus QBR, rapports SLA, rapports d’audit et enregistrements de revue annuelle |
Ce tableau ne sert pas seulement à orienter la collecte des éléments de preuve. Il démontre que l’organisation a traduit le texte réglementaire en critères d’audit alignés sur ISO et en éléments de preuve concrets.
Constats : les rédiger pour permettre à la direction d’agir
Un constat d’audit ne doit pas ressembler à une réclamation vague. Il doit être suffisamment structuré pour que la direction comprenne le risque, attribue la responsabilité et approuve l’action corrective.
La Politique d’audit et de surveillance de la conformité SME indique :
Tous les constats d’audit doivent être documentés avec des notations de risque et des actions proposées.
Extrait de la section « Exigences de gouvernance », clause de politique 5.4.1.
La Politique d’audit et de surveillance de la conformité d’entreprise ajoute la discipline des actions correctives :
Tous les constats doivent donner lieu à une CAPA documentée comprenant :
Extrait de la section « Exigences de mise en œuvre de la politique », clause de politique 6.2.1.
Dans le Zenith Blueprint, l’étape 27 recommande de catégoriser les constats en non-conformités majeures, non-conformités mineures ou observations, puis de réaliser une analyse de la cause racine. Une non-conformité majeure indique une lacune grave ou une défaillance systémique. Une non-conformité mineure correspond à un écart isolé dans un processus par ailleurs conforme. Une observation est une opportunité d’amélioration.
Un constat solide inclut :
- L’exigence ou l’attente de contrôle.
- La situation observée.
- Les éléments de preuve échantillonnés.
- Le risque et l’impact métier.
- La pertinence réglementaire.
- La classification et la notation du risque.
- La cause racine.
- Le responsable de l’action corrective et l’échéance.
Exemple de constat :
Constat NC-2026-07, non-conformité mineure, retard de revue de sécurité fournisseur
Exigence : les revues de sécurité des fournisseurs pour les prestataires TIC critiques doivent être réalisées au moins annuellement, à l’appui des contrôles fournisseurs ISO 27001, des attentes NIS2 relatives à la chaîne d’approvisionnement et des obligations DORA de gestion des risques liés aux tiers TIC.
Situation : deux des douze fournisseurs TIC critiques n’avaient pas de revue de sécurité 2026 achevée à la date requise.
Éléments de preuve : export du registre des fournisseurs daté du 15 juin 2026, outil de suivi des revues fournisseurs, entretien avec le responsable des achats et deux enregistrements de revue manquants.
Risque : une revue fournisseur retardée peut empêcher l’identification en temps utile de vulnérabilités, de changements de sous-traitance, de lacunes de support aux incidents ou de non-conformités contractuelles affectant des services critiques.
Cause racine : les achats n’étaient pas automatiquement notifiés à l’approche des dates de revue fournisseur, et la responsabilité des éléments de preuve fournisseurs liés à DORA n’était pas attribuée.
Action corrective : configurer des rappels de revue automatisés, désigner des responsables de contrôle nominatifs pour tous les fournisseurs TIC critiques, achever les revues en retard avant le 31 juillet 2026 et réaliser des contrôles d’échantillons trimestriels.
Pour l’analyse de la cause racine, la technique des « 5 pourquoi » est utile. Si une appréciation précontractuelle a été omise, la véritable cause n’est peut-être pas une erreur individuelle. Elle peut résider dans le fait que le workflow d’achats autorisait les contrats TIC de faible montant à contourner la revue de sécurité, alors que les attentes DORA et NIS2 s’appliquent selon le risque et la dépendance, et non seulement selon le montant dépensé.
Le calendrier 2026 des éléments de preuve
Un calendrier 2026 des éléments de preuve transforme l’audit interne en rythme opérationnel. Il répartit la production des éléments de preuve sur l’année et évite la course de fin d’exercice.
La Politique de sécurité de l’information de Clarysec prévoit une revue de gouvernance portant sur :
La revue des indicateurs clés de performance de la sécurité (KPI), des incidents, des constats d’audit et du statut des risques
Extrait de la section « Exigences de gouvernance », clause de politique 5.3.2.
Les éléments de preuve ne sont pas collectés uniquement pour les auditeurs. Ils alimentent les décisions relatives aux risques, au budget, aux ressources, aux fournisseurs, aux outils, à la formation et aux actions correctives.
| Mois | Priorité d’audit et d’éléments de preuve | Principaux éléments de preuve produits |
|---|---|---|
| Janvier | Confirmer le périmètre réglementaire, le domaine d’application du SMSI et le plan d’audit 2026 | Plan d’audit approuvé, revue du domaine d’application du SMSI, appréciation d’applicabilité NIS2 et DORA, mise à jour du registre juridique |
| Février | Gouvernance, appétence au risque et formation de l’organe de direction | Comptes rendus du conseil, enregistrements de formation, critères de risque, registre des risques mis à jour |
| Mars | Inventaire des actifs, des données et des dépendances | Export CMDB, cartographies des flux de données, liste des services critiques, cartographie des interconnexions fournisseurs TIC |
| Avril | Audit du contrôle d’accès et de la MFA | Enregistrements de revue d’accès, échantillon d’accès à privilèges, rapport de couverture MFA, tests sur les départs |
| Mai | Gestion des vulnérabilités, application des correctifs et gestion sécurisée des changements | Indicateurs de vulnérabilité, éléments de preuve de remédiation, échantillon de tickets de changement, approbations d’exceptions |
| Juin | Gouvernance des fournisseurs et des services cloud | Échantillon de diligences préalables fournisseurs, revue des clauses contractuelles, droits d’audit, plans de sortie, notes sur le risque de concentration |
| Juillet | Exercice de gestion et de signalement des incidents | Simulation d’incident, classification de gravité, test du workflow de notification NIS2, test d’escalade des incidents DORA |
| Août | Journalisation, surveillance et détection | Cas d’usage SIEM, ajustement des alertes, couverture de surveillance, échantillon d’escalade |
| Septembre | Sauvegarde, restauration et continuité d’activité | Enregistrements de tests de sauvegarde, éléments de preuve RTO et RPO, exercice de continuité, test de communication de crise |
| Octobre | Développement sécurisé et sécurité des applications | Éléments de preuve SDLC, échantillon de revue de code, résultats des tests de sécurité, revue du développement externalisé |
| Novembre | Audit interne complet du SMSI et revue de conformité croisée | Rapport d’audit interne, registre des constats, cartographie NIS2 et DORA, éléments de preuve de responsabilité GDPR |
| Décembre | Revue de direction et clôture des actions correctives | Comptes rendus de revue de direction, statut CAPA, acceptation du risque résiduel, entrées pour le plan d’audit 2027 |
Ce calendrier donne au comité d’audit un plan d’assurance prospectif et donne aux responsables de contrôle le temps de produire des éléments de preuve dans le cadre des opérations normales.
L’ossature ISO 27002:2022 : 5.31, 5.35 et 5.36
Zenith Controls est le guide de conformité croisée de Clarysec. Il cartographie les domaines de contrôle ISO/IEC 27001:2022 et ISO/IEC 27002:2022 avec d’autres normes, réglementations, attentes d’audit et modèles d’éléments de preuve. Il est particulièrement utile pour relier la revue interne, les obligations légales et le respect des politiques.
Trois domaines de contrôle ISO/IEC 27002:2022 forment l’ossature d’un programme d’audit interne unifié :
| Domaine ISO 27002:2022 mis en évidence dans Zenith Controls | Question d’audit | Valeur pour NIS2 et DORA |
|---|---|---|
| 5.31 Exigences légales, statutaires, réglementaires et contractuelles | Savons-nous quelles obligations s’appliquent et les avons-nous cartographiées avec des contrôles et des éléments de preuve ? | Soutient l’applicabilité NIS2, les obligations TIC DORA, les contrats clients et la responsabilité GDPR |
| 5.35 Revue indépendante de la sécurité de l’information | Les revues sont-elles objectives, planifiées, compétentes et suivies d’actions ? | Soutient l’assurance sur les mesures de cybersécurité, les tests de résilience TIC et la supervision de la direction |
| 5.36 Conformité aux politiques, règles et normes de sécurité de l’information | Les règles internes sont-elles suivies en pratique et surveillées en continu ? | Soutient l’application de la politique, l’hygiène cyber, le contrôle d’accès, la préparation aux incidents et les actions correctives |
Le contrôle 5.35 est la pierre angulaire de l’assurance, car il valide que le SMSI fait l’objet d’une revue indépendante. Le contrôle 5.36 confirme que les politiques ne sont pas seulement approuvées, mais effectivement appliquées. Le contrôle 5.31 relie le SMSI aux obligations légales, réglementaires et contractuelles, y compris NIS2, DORA, GDPR et les exigences de sécurité des clients.
Cartographie de conformité croisée : un audit, plusieurs angles d’assurance
Un dossier de travail d’audit interne mature doit montrer explicitement comment un même élément de preuve soutient plusieurs attentes d’assurance.
| Éléments de preuve d’audit | Assurance ISO 27001 | Pertinence NIS2 | Pertinence DORA | Pertinence GDPR, NIST et COBIT |
|---|---|---|---|---|
| Registre juridique et réglementaire | Contexte et obligations de conformité | Périmètre, statut de l’entité, facteurs liés à Article 21 | Obligations sectorielles de résilience TIC | Responsabilité GDPR, NIST CSF GOVERN, conformité externe COBIT |
| Registre des risques et plan de traitement | Appréciation des risques, traitement, Déclaration d’applicabilité | Mesures appropriées et proportionnées | Cadre de gestion des risques TIC et tolérance | Gestion des risques NIST, optimisation des risques COBIT |
| Rapport d’exercice sur table d’incident | Préparation aux incidents et enseignements tirés | Préparation du workflow de signalement | Classification, escalade, notification et cause racine | Préparation aux violations GDPR, NIST CSF RESPOND, incidents gérés COBIT |
| Dossier de diligences préalables fournisseurs | Relation fournisseur et chaîne d’approvisionnement TIC | Vulnérabilités et pratiques des fournisseurs | Registre des tiers TIC, diligences préalables, planification de sortie | NIST C-SCRM, gouvernance fournisseurs COBIT |
| Test de restauration des sauvegardes | Préparation TIC et continuité | Sauvegarde, reprise après sinistre, gestion de crise | Objectifs de reprise, restauration et contrôles d’intégrité | Disponibilité GDPR, NIST CSF RECOVER, continuité COBIT |
| Revue d’accès | Contrôle d’accès et sécurité RH | Attentes relatives au contrôle d’accès et à la MFA | Moindre privilège et authentification forte | Intégrité et confidentialité GDPR, NIST CSF PROTECT |
C’est ce qui permet au RSSI de dire au conseil : « Notre audit des incidents de juillet a produit des éléments de preuve pour ISO 27001, NIS2, l’assurance client DORA, la préparation aux violations GDPR, les résultats de réponse NIST CSF et la gouvernance des incidents COBIT. »
Revue de direction : là où l’audit devient responsabilité
L’audit interne a peu de valeur si les constats ne parviennent pas à la direction. La revue de direction ISO 27001 fournit le mécanisme, et NIS2 comme DORA rendent l’attente de gouvernance explicite.
La Politique d’audit et de surveillance de la conformité SME exige que :
Les constats d’audit et les mises à jour de statut doivent être inclus dans le processus de revue de direction du SMSI.
Extrait de la section « Exigences de gouvernance », clause de politique 5.4.3.
Elle indique également :
Le DG doit approuver un plan d’actions correctives et suivre sa mise en œuvre.
Extrait de la section « Exigences de gouvernance », clause de politique 5.4.2.
La revue de direction doit répondre aux questions suivantes :
- Les obligations NIS2, DORA, GDPR et contractuelles sont-elles toujours correctement reflétées dans le domaine d’application du SMSI ?
- Les contrôles à haut risque sont-ils audités assez fréquemment ?
- Quels constats indiquent une faiblesse systémique plutôt qu’une erreur isolée ?
- Des actions correctives sont-elles en retard ?
- Les propriétaires de risques acceptent-ils le risque résiduel en connaissance de cause ?
- Les fournisseurs, le signalement des incidents, la continuité et les tests disposent-ils de ressources suffisantes ?
- Les tendances d’audit suggèrent-elles des changements de politique, d’outillage, de budget ou de formation ?
Si ces réponses ne sont pas documentées, l’organisation peut disposer d’éléments de preuve d’activité, mais pas d’éléments de preuve de gouvernance.
Écueils courants à éviter en 2026
L’échec le plus courant consiste à traiter l’audit interne ISO 27001 séparément de l’assurance réglementaire. Cela crée des doublons et des angles morts.
Les autres écueils incluent :
- Le périmètre exclut des fournisseurs critiques, des plateformes cloud ou des services SOC externalisés.
- L’applicabilité de NIS2 ou de DORA n’est pas documentée dans le registre juridique.
- Le plan d’audit n’est pas approuvé par la direction.
- L’échantillonnage est réalisé mais non documenté.
- Les auditeurs internes revoient leur propre travail sans mesure d’atténuation.
- Les constats décrivent des symptômes mais pas les causes racines.
- Les actions correctives mettent à jour des documents mais ne corrigent pas les processus.
- La revue de direction reçoit les résultats d’audit mais ne prend aucune décision.
- Les exercices d’incident testent la réponse technique mais pas la notification réglementaire.
- Les audits fournisseurs examinent les questionnaires mais pas les contrats, les plans de sortie ni le risque de concentration.
- Les éléments de preuve de sauvegarde montrent des jobs réussis mais pas l’intégrité de la restauration.
- Les revues d’accès sont réalisées, mais les exceptions ne sont pas suivies jusqu’à clôture.
Chaque écueil peut devenir une non-conformité mineure ou majeure selon sa gravité et son impact systémique. Surtout, chacun affaiblit la capacité de l’organisation à démontrer sa résilience sous NIS2, DORA et l’examen des clients.
Transformer votre plan d’audit 2026 en moteur d’éléments de preuve
Si votre programme d’audit interne reste un événement annuel unique, il est temps de le refondre.
Commencez par un plan d’audit approuvé par la direction. Définissez le domaine d’application du SMSI autour des services réels, des obligations réglementées et des dépendances vis-à-vis de tiers. Construisez un univers d’audit fondé sur les risques. Documentez l’échantillonnage. Classifiez les constats de manière cohérente. Utilisez l’analyse de la cause racine. Suivez les CAPA. Intégrez les résultats à la revue de direction. Maintenez un calendrier mensuel des éléments de preuve.
Clarysec peut vous aider à aller plus vite avec :
- Zenith Blueprint: An Auditor’s 30-Step Roadmap pour la planification d’audit, l’exécution, les constats, la revue de direction et l’amélioration continue.
- Zenith Controls: The Cross-Compliance Guide pour cartographier l’assurance ISO 27001 avec les attentes NIS2, DORA, GDPR, NIST CSF et COBIT.
- La Politique d’audit et de surveillance de la conformité et la Politique d’audit et de surveillance de la conformité SME pour une planification d’audit et une gestion des constats prêtes pour la gouvernance.
- La Politique de sécurité de l’information pour la revue, au niveau de la direction, des KPI, des incidents, des constats d’audit et du statut des risques.
Choisissez un domaine à haut risque, comme le signalement des incidents ou la gouvernance des fournisseurs TIC, et réalisez un audit interne ciblé en utilisant la structure de périmètre, d’échantillonnage et de constats de Clarysec. En un cycle, vous saurez si vos éléments de preuve sont prêts pour audit, si vos contrôles fonctionnent et si votre organe de direction dispose des informations nécessaires pour gouverner le risque cyber.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
