Votre entreprise a entamé un processus de certification ISO 27001 depuis bientôt un an et s’apprête désormais à faire auditer son SMSI par un organisme de certification accrédité. De quel type d’audit s’agit-il ?
[A] Audit 1ère partie (First-party audit)
[B] Audit 2ème partie (Second-party audit)
[C] Audit tierce partie (Third-party audit)
[D] Evaluation de sécurité (Security assessment)
Selon la norme ISO 19011:2018, un audit est un processus méthodique, indépendant et documenté, permettant d’obtenir des preuves objectives et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits.
Les audits peuvent être classés en trois catégories : les audits internes (ou audits de 1ère partie), les audits externes (ou audits de 2ème partie) et les audits de certification (ou audits de tierce partie).
Dans un audit de 1ère partie, l’entité auditée et le commanditaire de l’audit font partie du même organisme. Exemple : audit de vérification du respect de la PSSI demandé par la Direction générale.
On pratique généralement un audit de 2ème partie, lorsque 2 entreprises veulent travailler ensemble mais que l’une d’entre-elles veut s’assurer du niveau de sécurité de son partenaire. Exemple : audit d’un fournisseur par un client qui souhaite vérifier que les clauses de sécurité indiquées au contrat sont bien respectées.
Enfin les audits de tierce partie, également appelés audits de certification ou d’accréditation, ont pour objectif l’obtention d’une certification ou d’une accréditation.
La bonne réponse est donc la proposition [C] Audit tierce partie
Pour obtenir une certification ISO 27001, l’entreprise fera auditer son SMSI par un organisme de certification qui sera lui-même accrédité selon les normes ISO 17021 et ISO 27006.
L’auditeur vérifiera la conformité du SMSI vis à vis des exigences spécifiées dans la norme ISO 27001. Dans le rapport d’audit (propriété de l’organisme certificateur), l’auditeur mentionnera éventuellement des écarts (c-a-d des « non-conformités ») en les classant par importance (remarque / mineur / majeur). Et selon les constats d’audit mentionnés dans ce rapport, l’organisme de certification délivrera ou non un certificat officiel attestant que le SMSI audité est conforme aux exigences de la norme ISO 27001 sur le périmètre considéré.
La proposition [D] (évaluation de sécurité) n’est pas la bonne réponse car dans un audit ISO 27001 on n’évalue pas un niveau de sécurité mais la conformité d’un processus d’amélioration continue de la sécurité (SMSI) aux exigences de la norme ISO 27001.
Pour en savoir plus sur les audits de sécurité , nous vous recommandons de suivre le module n°16 de la formation CISSP de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE