Pendant plusieurs années de mon expérience d’auditeur, j’ai toujours été surpris que la grande majorité des audits sécurité soient réalisés par rapport à des référentiels externes, alors qu’on dispose d’une politique de sécurité.

Si on a une une politique de sécurité, c’est qu’on a défini dedans les objectifs en matière de cybersécurité, et on a formalisé les mesures qu’on souhaite mettre en place. Cela veut aussi dire qu’on a réfléchi aux mesures qui sont à exclure.

Et même en l’existence d’une norme ou d’une réglementation applicable, la politique de sécurité constitue une traduction de ce référentiel pour le contexte de l’organisation en question.

Donc si tout ce travail est déjà fait, pourquoi repartir de zéro, et fournir à l’auditeur un référentiel avec des exigences génériques à auditer ?

Le problème, en faisant ainsi, c’est que l’auditeur refera sa propre lecture des exigences, et finira par vous auditer pour des mesures que vous avez exclues et passera à côté de mesures que vous avez décidé de mettre en place.

Imaginons par exemple un audit interne du cloisonnement dans le cadre d’un SMSI ISO 27001. Si l’auditeur part de manière brute de la règle « Cloisonnement Réseau » de l’annexe A, les conclusions de l’audit vont êtres différentes selon l’auditeur, selon sa propre lecture de cette règle et des seuils de segmentation qu’il fixe lui-même sans forcément connaître les enjeux  du système d’information audité.

Un auditeur dira que c’est OK pour un VLAN qui isole les serveurs du réseau utilisateur. Un autre ira plus loin et demandera plusieurs vlan par niveau de sensibilité. Un troisième jugera qu’un cloisonnement par vlan est insuffisant et qu’il faut un cloisonnement physique.

Cela créera juste des débats non constructifs et entraînera de la perte de temps.

Pour éviter cette situation, il vaut mieux que l’auditeur parte d’une règle de PSSI, qui explique concrètement les règles qu’on s’est fixées en matière de segmentation et de cloisonnement.

Vous pourriez me dire, oui mais il est aussi intéressant d’avoir un avis externe de l’auditeur quant aux mesures qu’il faut mettre en place. 

Je vous dirais que c’est du conseil auquel il faut avoir recours lors de l’élaboration ou de la revue de la PSSI et de ses déclinaisons opérationnels, et non dans un audit.

En conclusion, quand vous avez une politique de sécurité, pensez à vous en servir comme référentiel pour vos audits.

Et lors de l’élaboration de cette PSSI, pensez à ce qu’elle contiennent des règles directives et opérationnelles, qui sont mesurables et contrôlables.

Que veut dire une règle directives, opérationnelles, mesurables et contrôlables… cela fera l’objet d’une autre pensée cyber.