L’audit ISO 27001 évalue la conformité et l’efficacité d’un Système de Management de la Sécurité de l’Information (SMSI) par rapport aux exigences de la norme ISO/IEC 27001:2022. Loin d’un simple contrôle documentaire, il examine la mise en oeuvre réelle des contrôles de sécurité, la cohérence de l’analyse des risques et la capacité de l’organisation à maintenir ses engagements dans la durée.
Périmètre d’audit ISO 27001 sur des environnements SaaS et multi-cloud
La définition du périmètre conditionne la crédibilité de l’ensemble de la démarche. Nous observons depuis plusieurs années une extension significative des périmètres d’audit vers les infrastructures SaaS et multi-cloud, ce qui change radicalement la nature des preuves attendues.
A découvrir également : Quelles sont les données que le RGPD n'interdit pas de collecter ?
Un périmètre cantonné au réseau interne ne reflète plus la réalité opérationnelle de la plupart des organisations. Auditer un SMSI sans couvrir les services cloud revient à ignorer les flux de données les plus exposés. Des plateformes SaaS françaises comme ITESOFT ont obtenu la certification ISO 27001:2022 sur l’ensemble de leur périmètre SaaS, ce qui implique des audits couvrant non seulement l’IT interne mais aussi les environnements hébergés.
Cette extension a des conséquences directes sur la collecte de preuves. L’auditeur attend des éléments comme les configurations de chiffrement au repos et en transit, les journaux d’accès des consoles d’administration cloud, les contrats fournisseurs avec clauses de sécurité vérifiables, et la cartographie des flux de données entre tenants.
A lire aussi : Est-il possible de bloquer un paiement en ligne ?

Audit interne et audit externe : exigences distinctes de la norme
La norme impose deux types d’audits qui ne répondent pas aux mêmes objectifs. Les confondre affaiblit la posture de conformité.
Audit interne selon la clause 9.2
L’audit interne est une exigence normative, pas une option. La clause 9.2 de l’ISO 27001:2022 impose que l’organisation planifie et réalise des audits internes à intervalles définis pour vérifier que le SMSI est conforme à ses propres exigences et à celles de la norme.
Nous recommandons de confier cet audit à une personne ou une équipe indépendante du périmètre audité. L’auditeur interne peut être un collaborateur formé ou un prestataire externe, à condition qu’il n’ait pas participé à la conception ou à l’exploitation des contrôles qu’il évalue. L’indépendance de l’auditeur interne est un point systématiquement vérifié lors de l’audit de certification.
Audit de certification par un organisme accrédité
L’audit externe se déroule en deux étapes distinctes :
- L’étape 1 (revue documentaire) : l’auditeur examine la documentation du SMSI, la déclaration d’applicabilité (DdA), l’analyse des risques et la politique de sécurité de l’information. L’objectif est de confirmer que le système est suffisamment mature pour passer à l’étape suivante.
- L’étape 2 (audit sur site) : l’auditeur vérifie la mise en oeuvre effective des contrôles. Il interroge les équipes, examine les preuves opérationnelles et teste l’application réelle des procédures déclarées.
- Les audits de surveillance annuels : après la certification initiale, l’organisme certificateur réalise des audits de surveillance (généralement annuels) portant sur un échantillon de contrôles, puis un audit de renouvellement complet au bout de trois ans.
Une non-conformité majeure à l’étape 1 peut bloquer le passage à l’étape 2, ce qui décale le calendrier de certification de plusieurs mois.
Contrôles de l’Annexe A et preuves attendues par l’auditeur
L’Annexe A de la version 2022 de la norme regroupe les contrôles de référence en quatre thèmes : organisationnels, liés aux personnes, physiques et technologiques. L’auditeur ne se contente pas de vérifier qu’un contrôle existe sur le papier. Il cherche la preuve que ce contrôle fonctionne, qu’il est surveillé et qu’il produit des résultats mesurables.
Prenons l’exemple du contrôle d’accès. Un document décrivant la politique d’habilitation ne suffit pas. L’auditeur demandera les revues d’habilitations réalisées sur la période, les logs montrant la suppression effective des accès des collaborateurs partis, et la trace d’une authentification multifacteur (MFA) sur les systèmes critiques.
La déclaration d’applicabilité (DdA) structure l’ensemble de l’audit. Ce document liste chaque contrôle de l’Annexe A, précise s’il est applicable ou non, et justifie chaque exclusion. Un contrôle exclu sans justification documentée constitue une non-conformité quasi systématique.
Audit ISO 27001 comme preuve de conformité NIS2
Les exigences de la directive NIS2 (analyse des risques documentée, gestion des incidents, continuité d’activité, sécurité de la chaîne d’approvisionnement, contrôle des accès, MFA) recoupent largement les contrôles de l’Annexe A d’ISO 27001:2022. Dans les faits, les entreprises soumises à NIS2 utilisent l’audit ISO 27001 comme outil de preuve vis-à-vis du régulateur.
La logique est pragmatique : structurer ses mesures de sécurité et ses preuves autour du SMSI permet de répondre aux exigences de l’article 21 de NIS2 sans dupliquer les efforts de conformité. L’audit ISO 27001 produit exactement le type de documentation que les autorités de contrôle attendent, à savoir des politiques formalisées, des preuves d’application et des rapports de revue de direction.

Cette convergence ne signifie pas qu’une certification ISO 27001 vaut conformité NIS2 automatique. Des écarts subsistent, notamment sur les obligations de notification d’incidents dans des délais précis ou sur les sanctions administratives propres à NIS2. Nous recommandons de réaliser une analyse d’écart entre le périmètre SMSI certifié et les exigences NIS2 applicables à l’organisation.
Erreurs fréquentes lors d’un audit de certification ISO 27001
Certaines non-conformités reviennent avec une régularité prévisible. Trois d’entre elles méritent une attention particulière.
La première concerne la revue de direction. La clause 9.3 exige que la direction examine le SMSI à intervalles planifiés. L’auditeur vérifie non seulement que cette revue a eu lieu, mais que les éléments d’entrée requis par la norme (résultats d’audits, retours des parties intéressées, état des actions correctives) figurent dans le compte rendu. Un procès-verbal vague ou incomplet génère une non-conformité mineure, parfois majeure.
La deuxième porte sur la gestion des risques résiduels. Après traitement, chaque risque conserve un niveau résiduel que la direction doit formellement accepter. L’absence de cette acceptation documentée constitue un écart récurrent.
La troisième touche la compétence des acteurs du SMSI. La clause 7.2 impose de démontrer que les personnes réalisant des tâches liées à la sécurité de l’information possèdent les compétences nécessaires. Des fiches de poste génériques ou l’absence de preuves de formation ciblée suffisent à déclencher un constat.
Un audit ISO 27001 réussi repose moins sur la quantité de documentation produite que sur la cohérence entre ce qui est écrit, ce qui est appliqué et ce qui est mesurable. L’auditeur cherche cette cohérence à chaque contrôle. Les organisations qui préparent leurs preuves opérationnelles avec autant de soin que leurs politiques documentaires abordent l’audit de certification avec un avantage tangible.

