Qu'attend un auditeur de certification lorsqu'il rencontre la Direction Générale ?

Dans le processus de certification (par exemple conformité à la norme ISO 27001de sécurité de l'information ou ISO 22301 de continuité d'activité), l'auditeur de certification va rencontrer la Direction Générale.

Il recherchera alors des preuves de respect ou non des exigences du référentiel. Je recommande souvent aux Directions Générales de se préparer un minimum afin de faire "bonne figure". Voici quelques points à voir :

La Direction doit être consciente des risques

photo E.Besluau

Ce point est fondamental. Une direction trop sûre d'elle ("ici vous ne trouverez rien à redire") risque de donner une impression de confiance démesurée vite démentie à la prochaine cyber-attaque.

Autre attitude à bannir : l'inconscience des risques, soit quant à leur survenance, "cela n'arrive quasiment jamais", soit quant à leurs effets "on saurait s'en sortir tout de même" qui justifierait de ne rien faire.

Or, les normes ISO de systèmes de management évoquées ici sont centrées sur la connaissances des risques qui vont nous empêcher d'atteindre nos objectifs (de sécurité, continuité,...). L'attitude correcte est donc une attitude d'humilité qui comporte des prises de conscience :  
  1. Nous avons des objectifs en matière de sécurité, continuité, ...
  2. Notre situation comporte des risques de ne pas atteindre ces objectifs.
  3. Nous réévaluons régulièrement ces risques.
  4. Nous mettons en place des mesures préventives et réactives face à cela.
  5. Nous devons nous remettre en question en permanence. 

Une Direction Générale doit donc être capable de citer les risques principaux liés à sa situation.

L'auditeur peut ainsi demander :

  • que craignez-vous particulièrement (en matière de sécurité et de continuité) ?
  • comment cela pourrait-il se produire chez vous ?
  • quels impacts sur vos métiers ? clients ?
  • estimez-vous être suffisamment protégés ?
  • avez-vous des plans d'actions que vous suivez ?
Tout discours flou ou "gadgétique" sur ce sujet central apporte une impression de "non-maîtrise". 

La Direction doit savoir ce qu'elle met en place comme protection

Bien sûr on ne demandera pas au DG le détail des paramétrages des pare-feu ou cluster PCA, mais il convient qu'il ait une idée assez claire et facile à expliquer en grandes lignes sur les décisions prises et les ressources techniques et humaines déployées :
  • niveaux d'investissement et budget (quel % ?)
  • politique, responsabilités et priorités
  • stratégie de reprise (Data center de secours ? télétravail ? usine mise à l'arrêt ?)
  • organisation dédiée à la sécurité et continuité avec son personnel (en équivalent temps plein)
  • RH ou j x h budgétés pour des projets ou des exercices planifiés
  • formations et sensibilisations
Non seulement la Direction doit avoir une idée sur ce qui est en place, mais elle doit avoir aussi une opinion sur la protection effectivement obtenue. 

Il est considéré dans les normes ISO de systèmes de management que c'est elle, la Direction Générale qui est motrice dans la démarche. Tout ce qui est fait l'est à sa demande ! L'auditeur doit le sentir, il y a trop de DG "suiveurs" de leur RSSI ou RPCA ou des modes simplement.

La Direction doit s'assurer que tout ce qu'elle a mis en place est efficace et le demeure

En plus de l'humilité sur les risques, il y a aussi le doute sur la qualité de la protection.

Une Direction Générale doit exiger un reporting régulier sur l'efficacité en sécurité et continuité de ce qui a été mis en place, normalement à sa demande.

Habituellement ce reporting est effectué par RSSI et RPCA dans des revues de direction un peu formalisées.

Les indicateurs régulièrement mesurés ainsi que le recours à l'audit interne sont requis par les normes et sont des outils très importants de surveillance pour la DG : ne nous en privons pas.

L'auditeur de certification voudra vérifier que cette gouvernance fonctionne et que la DG peut effectivement s'assurer que ce qu'elle a mis en place est efficace et que la sécurité (et continuité) s'améliore. Il voudra voir des comptes rendus sur des revues effectivement tenues et des plans d'actions d'amélioration décidés et suivis d'effet.

En conclusion de tout cela : l'auditeur de certification cherche à vérifier que la Direction Générale maîtrise le sujet, en restant "humble" sur sa connaissance des risques et en exerçant un doute raisonnable sur ses protections qu'elle cherche à améliorer continuement.

Commentaires

Posts les plus consultés de ce blog

Les PCA éliminent-ils les cellules de crise?

Attention aux mauvaises pratiques des exploitations informatiques !

Faut-il opposer Continuité d'Activité et "Résilience opérationnelle" ?