Comment vérifier la cohérence des documents du SMSI et la préparation à l'audit avec ISMS Copilot

Ce guide aide les responsables de la mise en œuvre de l'ISO 27001 à effectuer des contrôles de cohérence complets sur l'ensemble de la documentation du SMSI, à challenger leur travail de préparation et à vérifier qu'ils sont prêts pour l'audit avant la certification initiale ou les audits de surveillance.

À qui s'adresse ce guide

Aux responsables de la mise en œuvre de l'ISO 27001, aux RSSI (responsables de la sécurité des systèmes d'information) et aux responsables de la conformité chargés de créer et de maintenir un SMSI et de préparer les audits de certification.

Ce que vous allez accomplir

Vous allez télécharger votre documentation complète de SMSI sur ISMS Copilot, identifier les incohérences entre les politiques et les procédures, vérifier l'alignement avec les exigences de la norme ISO 27001 et recevoir une évaluation réaliste de l'état de préparation à la certification avec des domaines d'amélioration spécifiques.

Le défi de la cohérence

La documentation d'un SMSI est créée sur plusieurs mois par différentes personnes se référant à des exigences en constante évolution. Résultat : les politiques contredisent les procédures, la Déclaration d'Applicabilité (SoA) ne correspond pas aux contrôles mis en œuvre, les plans de traitement des risques font référence à des procédures inexistantes, et personne ne s'en rend compte jusqu'à ce que l'auditeur le signale.

Prérequis

• Documentation complète du SMSI incluant les politiques, les procédures, la Déclaration d'Applicabilité (SoA), l'appréciation des risques et le plan de traitement des risques

• Compte ISMS Copilot avec accès Premium (recommandé pour le téléchargement illimité de fichiers)

• Tous les documents au format PDF ou DOC

Étape 1 : Créer un espace de travail dédié à la préparation de l'audit

Configurez un espace de travail spécifique pour l'examen complet du SMSI et la préparation à l'audit.

1. Créez un nouvel espace de travail nommé « Préparation Audit [Date] » ou « Préparation Certification [Année] »

2. Sélectionnez le persona Implementer pour une analyse axée sur la mise en œuvre

3. Séparez cet espace de travail du travail opérationnel quotidien du SMSI

Étape 2 : Télécharger votre documentation complète du SMSI

Téléchargez tous les documents du SMSI pour permettre une analyse transversale complète.

Documents critiques à télécharger :

• Documents obligatoires : Politique de sécurité de l'information, Déclaration d'Applicabilité (SoA), Évaluation des risques, Plan de traitement des risques

• Procédures de base : Contrôle d'accès, gestion des changements, réponse aux incidents, continuité d'activité, sauvegarde et restauration

• Documents de support : Inventaire des actifs, contrats fournisseurs avec clauses de sécurité, registres de formation, journaux d'audit (logs)

• Rapports d'audit précédents : Si disponibles, pour le suivi des actions correctives

Étape 3 : Vérifier l'alignement de la Déclaration d'Applicabilité (SoA)

Vérifiez que votre SoA reflète fidèlement ce qui est réellement mis en œuvre dans votre SMSI.

Prompts pour la vérification de la SoA :

• « Compare ma Déclaration d'Applicabilité avec mes procédures téléchargées. Quels contrôles sont marqués comme 'applicables' mais n'ont pas de procédure correspondante ? »

• « Y a-t-il des contrôles marqués 'non applicables' dans ma SoA mais référencés dans mon plan de traitement des risques ? »

• « Examine mes justifications d'exclusions dans la SoA. Sont-elles adéquates selon l'ISO 27001:2022 ? »

• « Quels contrôles de l'Annexe A sont mentionnés dans les procédures mais absents de ma SoA ? »

Étape 4 : Identifier les incohérences entre les documents

Trouvez les contradictions, les lacunes et les désalignements dans toute votre documentation de SMSI.

Prompts pour le contrôle de cohérence :

• « Ma politique de contrôle d'accès prévoit des révisions trimestrielles, mais ma procédure indique des révisions annuelles. Quels documents se contredisent sur la fréquence de révision ? »

• « Mon plan de traitement des risques fait-il référence à des procédures qui n'existent pas dans les documents téléchargés ? »

• « Compare les niveaux de classification des données entre ma politique et ma procédure de sauvegarde. Sont-ils cohérents ? »

• « Ma procédure de réponse aux incidents mentionne une 'Équipe de réponse aux incidents'. Cette équipe est-elle définie quelque part dans ma documentation ? »

• « Vérifie si tous les rôles et responsabilités mentionnés dans les documents sont définis dans mes documents organisationnels. »

Étape 5 : Vérifier la couverture des exigences ISO 27001

Assurez-vous que votre documentation traite toutes les clauses obligatoires de l'ISO 27001:2022 et les contrôles applicables de l'Annexe A.

Prompts pour la vérification de la couverture :

• « Vérifie mes documents téléchargés par rapport à la Clause 6 (Planification) de l'ISO 27001:2022. Que manque-t-il ? »

• « Mes documents démontrent-ils comment nous déterminons et traitons les risques et opportunités selon la Clause 6.1 ? »

• « Vérifie la couverture des exigences d'audit interne de la Clause 9.2 dans mes procédures »

• « Pour chaque contrôle marqué 'applicable' dans ma SoA, existe-t-il une preuve documentée de mise en œuvre ? »

• « Quelles exigences de la Clause 7 (Support) ne sont pas adéquatement documentées ? »

Étape 6 : Challenger votre évaluation et traitement des risques

Validez que votre approche de gestion des risques répond aux exigences ISO 27001 et qu'elle est pragmatique.

Prompts pour challenger l'évaluation des risques :

• « Examine mon évaluation des risques. Les critères d'acceptation des risques sont-ils clairement définis et appliqués de manière cohérente ? »

• « Mes risques identifiés sont-ils alignés avec le périmètre du SMSI et l'inventaire des actifs ? »

• « Les options de traitement des risques (éviter, transférer, accepter, réduire) sont-elles correctement justifiées ? »

• « Vérifie si mon plan de traitement des risques inclut les propriétaires, les délais et le statut pour chaque risque. Que manque-t-il ? »

• « Existe-t-il des risques résiduels qui n'ont pas été formellement acceptés par la direction ? »

Étape 7 : Évaluer les preuves de fonctionnement

Déterminez si vous disposez de suffisamment de preuves que votre SMSI est réellement opérationnel, et pas seulement documenté.

Prompts pour l'évaluation des preuves :

• « Quelle preuve opérationnelle un auditeur attendrait-il pour ma procédure de contrôle d'accès ? Est-ce que je l'ai ? »

• « Sur la base de ma procédure de réponse aux incidents, quels enregistrements devrais-je avoir ? Sont-ils mentionnés dans mes documents ? »

• « Examine mon plan de continuité d'activité. Quelles preuves de test les auditeurs attendront-ils ? »

• « Mes procédures spécifient-elles les durées et formats de conservation des enregistrements ? Est-ce cohérent ? »

Étape 8 : Obtenir une évaluation de l'état de préparation

Demandez une évaluation globale de votre état de préparation à la certification avec des priorités d'amélioration spécifiques.

Prompts pour l'évaluation de l'état de préparation :

• « Sur la base de tous les documents téléchargés, évalue mon état de préparation pour la certification initiale ISO 27001:2022. Quels sont les 5 principaux risques pour la certification ? »

• « Qu'est-ce qui risquerait d'entraîner des non-conformités majeures si je passais l'audit aujourd'hui ? »

• « Quelles zones de mon SMSI sont les plus faibles d'après la documentation ? »

• « Crée une liste de contrôle pré-audit classée par niveau de risque »

• « Si tu étais un auditeur examinant ces documents, que remettrais-tu en question ou que challengerais-tu ? »

Étape 9 : Préparer l'audit de surveillance

Pour les audits de surveillance, vérifiez que les changements depuis la certification n'ont pas introduit d'incohérences.

Prompts spécifiques à la surveillance :

• « Compare mes procédures actuelles avec le rapport d'audit précédent. Toutes les non-conformités ont-elles été traitées ? »

• « Quels changements ont été apportés à la documentation de mon SMSI depuis le dernier audit ? Sont-ils reflétés de manière cohérente ? »

• « Examine les comptes rendus de ma revue de direction. Démontrent-ils une amélioration continue ? »

• « Y a-t-il de nouveaux risques ou contrôles qui devraient figurer dans ma SoA mais n'y sont pas ? »

Incohérences courantes identifiées par ISMS Copilot

• Mélanges de terminologie : utilisation interchangeable de données « Sensibles » vs « Confidentielles » sans définition.

• Conflits de fréquence de révision : la politique indique trimestriellement, la procédure indique annuellement.

• Références orphelines : les documents citent des procédures, des équipes ou des systèmes qui n'existent pas.

• Dérive du périmètre : les procédures font référence à des sites ou à des systèmes situés en dehors du périmètre défini du SMSI.

• Problèmes de contrôle de version : des documents font référence à des versions obsolètes d'autres documents.

• Lacunes de responsabilité : les procédures assignent des tâches à des rôles non définis ou à des postes vacants.

• Désalignement de la SoA : contrôles marqués comme « non applicables » alors qu'ils sont clairement nécessaires selon l'évaluation des risques.

Meilleures pratiques pour la vérification de la cohérence

• Tout télécharger en une fois : ISMS Copilot analyse les relations entre tous les documents simultanément.

• Corriger systématiquement : traitez les problèmes fondamentaux (terminologie, rôles, périmètre) avant les incohérences de détail.

• Vérifier les corrections : après avoir corrigé les problèmes, téléchargez à nouveau les documents mis à jour et vérifiez à nouveau.

• Documenter la revue : enregistrez l'historique de discussion comme preuve de diligence raisonnable pour les auditeurs.

• Impliquer les propriétaires de documents : partagez les constatations de ISMS Copilot avec les personnes responsables de chaque document.

• Ne pas se reposer uniquement sur l'IA : une revue manuelle par des personnes compétentes reste essentielle ; ISMS Copilot assiste mais ne remplace pas l'expertise.

Se préparer aux questions de l'auditeur

Utilisez ISMS Copilot pour anticiper les questions des auditeurs et préparer les preuves :

• « Quelles questions un auditeur poserait-il sur ma procédure de gestion des changements ? »

• « Si un auditeur sélectionne un échantillon de mes revues d'accès, quelles preuves dois-je avoir prêtes ? »

• « Quels documents l'auditeur demandera-t-il lors de la revue documentaire de l'Étape 1 ? »

• « Génère une liste de questions d'entretien probables pour notre responsable informatique basées sur nos contrôles documentés »

Ce que ISMS Copilot ne peut pas vérifier

Limitations importantes à comprendre :

• Mise en œuvre réelle : ISMS Copilot examine les documents, pas vos systèmes, processus ou enregistrements réels.

• Efficacité : l'IA ne peut pas déterminer si vos contrôles fonctionnent réellement en pratique.

• Facteurs culturels : les auditeurs évaluent la culture de sécurité, l'engagement de la direction et la sensibilisation des employés, pas seulement les documents.

• Configurations techniques : ISMS Copilot n'audite pas les règles de pare-feu, les paramètres du serveur ou la sécurité des applications.

Ressources associées

• ISMS Copilot pour les CISOs de startups et les responsables sécurité - Workflows de mise en œuvre et analyse d'écarts

• Comment réaliser une analyse d'écarts ISO 27001 avec ISMS Copilot - Techniques d'identification initiale des lacunes

• Comment préparer les audits internes ISO 27001 avec l'IA - Préparation de l'audit interne pour une conformité continue

Prochaines étapes

Après avoir traité les problèmes de cohérence et vérifié l'état de préparation à l'audit, réalisez un audit interne formel en utilisant votre documentation corrigée pour valider que votre SMSI fonctionne comme documenté avant de planifier l'audit de certification.