ISO 27001
La norme ISO / CEI 27001, ou plus simplement ISO 27001, est une norme internationale concernant la sécurité de l’information dans les organisations privés, publics ou à but non lucratif. Elle fait partie de la famille de normes ISO / CEI 2700x, publiée par l’Organisation internationale de normalisation (ISO). Cette norme définit les exigences à respecter pour la mise en place, la réalisation, l’exploitation, l’optimisation et la mise à jour (processus d'amélioration continue) d’un système de gestion documenté de la sécurité de l’information élaboré sur la base d’un groupe de six normes (ISO 27001 à 27005).
Une attestation ISO est délivrée sous la forme d’une certification unilatérale par des auditeurs ISO accrédités et a valeur de constat ponctuel. De nombreuses entreprises considéraient jusqu’à présent la norme ISO 27001 comme un indicateur de maturité de leur propre sécurité de l’information. Or, les risques évoluent sans cesse et les dégâts en cas d’erreur ou d’omission sont de plus en plus lourdes. Il n’est donc pas étonnant que les exigences en matière de sécurité des données et des processus soient de plus en plus strictes, ce qui implique la mise en place d’un suivi plus global et plus régulier.
ISAE 3402 et SOC 1®
Lorsqu’une entreprise externalise des processus ayant une incidence sur la comptabilité et la tenue des comptes, elle doit s’assurer qu’un dispositif de contrôle interne adéquat et un système de gestion des risques efficaces soient mis en place. Pour l’entreprise qui externalise, comme pour ses responsables, la question se pose de savoir en quoi consistent les contrôles internes des prestataires auxquels elle fait appel. Or, ce type de vérification est onéreux et chronophage.
Les instances compétentes en matière d’audit ont reconnu le problème. C’est pourquoi l’International Auditing and Assurance Standards Board (IAASB) a publié la norme d’audit International Standard on Assurance Engagements 3402 (ISAE 3402). Aux États-Unis, la procédure équivalente est le rapport SOC-1 et se base sur le Conseil des normes d’audit de l’American Institute of Certified Public Accountants (AICPA).
L’objectif de ces deux normes d’audit est d’évaluer tous les systèmes d’information pertinents d’une entreprise en termes de disponibilité, d’intégrité et / ou de confidentialité. Le choix des processus à contrôler est également laissé à l’appréciation de l’entreprise mandante, mais doit être validé par le responsable d’audit indépendant. Néanmoins, les normes ISAE et SOC® offrent une certaine flexibilité, permettant à une entreprise de se concentrer sur les domaines qui sont essentiels pour sa clientèle, ses investisseurs ou fournisseurs, ainsi que pour ses auditeurs. Le / La responsable d’audit est notamment tenu(e) d’intégrer le rapport ISAE 3402 / SOC 1® selon ISA / SA-CH 402 ou ISA / ISA-CH 315 (Revised) dans sa mission.
Combiner le meilleur des deux
Chacun sait qu’on ne doit pas comparer des pommes et des poires. Néanmoins, pour clarifier les avantages et les inconvénients des deux certifications, nous nous livrons à ce type de comparaison (cf. graphique).
Type de rapport | Attestation (ISAE/SOC®) |
Certification (ISO 27001) |
Rapport | Rapport d'assurance avec opinion du de l’auditeur indépendant | Certification sans opinion d'audit |
Déclaration de la Direction | Comprend une déclaration de la Direction sur la bonne gestion de son environnement de contrôles | Aucune |
Livrable | Rapport complet comprenant la description de l’environnement de contrôle, la conception des contrôles et, pour les rapports de type II, l’efficacité opérationnelle pour atteindre les critères énoncés | Certification d’une page établissant que les systèmes de gestion sont en place. |
Fiabilité | Les clients et leurs réviseurs et autres parties prenantes peuvent s’appuyer sur le rapport | Ne donne pas de confort d’un audit |
Distribution | Réservé aux parties prenantes définies (sauf pour ISAE 3000 et SOC3) | Aucune restriction |
Niveau d’acceptation | Reconnu et accepté par la clientèle, leurs auditeurs et les autres parties prenantes. | En fonction de l’audience |
Sous-traitance | Transparence sur les sous-traitants utilisés et leur implication dans le contrôle interne | Non divulgué |
Implication de la fonction d’Audit interne ou de Conformité | Possible, si les travaux de l’auditeur interne ou la Conformité qui sont utilisés par l’auditeur indépendant sont divulgués dans le rapport | Non applicable |
Couverture / validité | A un moment donné (date critère) -Type 1 Couv erture d’une période entre 6 mois et 18 mois (normalement 12 mois) -Type 2 |
Audit de certification en année 1 et audit de surveillance en années 2 et 3 –Uniquement à un moment donné |
Période d’observation | Rétrospective |
Prospective |
Comparaison du rapport ISAE / SOC® et de la certification ISO 27001
Une certification ISO est plus facile et plus rapide à obtenir qu’un rapport d’audit ISAE ou SOC®. Alors que la norme ISO se limite à la conception des contrôles à un moment donné, les normes ISAE ou SOC® permettent de vérifier l’efficacité opérationnelle des contrôles sur une période donnée. Le champ d’application d’un rapport d’audit ISAE ou SOC® est donc beaucoup plus large que celui d’une certification ISO. Outre les chapitres habituels tels que la propre évaluation de la société, les objectifs de contrôle et leur description détaillée, un rapport d’audit comporte également une opinion indépendante des responsables d’audit, ce qui fait totalement défaut dans une certification ISO. Par conséquent, une révision externe peut s’appuyer sur un rapport d’audit, mais pas sur une certification ISO. La certification se limite à indiquer à la Direction quels contrôles sont suffisamment développés en matière de sécurité de l’information et lesquels doivent éventuellement être optimisés ou mis en place.
Le reporting opérationnel a le vent en poupe
La notoriété et l’attrait des audits ISAE et SOC® se développent, jouant un rôle de plus en plus important pour les entreprises à vocation internationale – y compris la Suisse. Ces audits permettent au Conseil d’administration et à la Direction d’avoir une connaissance approfondie de la maturité des processus propres à l’entreprise. Ils fournissent de précieux points de repère pour une gestion performante des contrôles et des risques ainsi que sur la résilience d'une organisation. Les rapports d’audit ISAE et SOC® couvrent diverses exigences des différentes parties prenantes. Une entreprise évite ainsi une double charge pour répondre aux demandes d’audit émanant de différentes parties.
En outre, ces rapports d’audit sont un excellent moyen de se faire reconnaître comme une entreprise responsable, sa clientèle et ses partenaires, tout en se démarquant de ses concurrents en termes de fiabilité et de bonne gestion.