Politique d’audit et de surveillance de la conformité

La Politique d’audit et de surveillance de la conformité sert de document fondamental pour établir et gouverner le programme d’une organisation en matière d’audit structuré et de surveillance de la conformité au sein de son Système de management de la sécurité de l'information (SMSI). L’objectif central de la politique est de valider l’efficacité des contrôles de sécurité et de protection des données, d’assurer l’alignement avec plusieurs normes applicables et cadres juridiques, de détecter et traiter les écarts de conformité, et de favoriser l’amélioration continue en vue de la certification et de la préparation à l’audit. La politique s’applique largement à toutes les unités opérationnelles internes, aux environnements physiques et d’informatique en nuage, aux applications, aux actifs de données et aux prestataires tiers de services soumis à des obligations de conformité ou d’audit. Elle couvre toutes les formes d’audits, y compris l’audit interne, la certification externe, les appréciations de conformité technique et les évaluations des fournisseurs tiers, ainsi que les processus d’actions correctives et préventives, l’établissement de rapports sur les indicateurs de contrôle d’accès, et le contrôle des éléments probants d’audit. La gouvernance est un axe critique. La politique impose un programme intégré de surveillance de l’audit et de la conformité au sein du SMSI, comprenant des plans d’audit annuels fondés sur les risques, des cycles d’audit réguliers adaptés à la criticité des actifs, et des pratiques strictes de documentation. Un registre d’audit doit être tenu, assurant le suivi des constatations d'audit, des parties responsables et du statut des actions correctives et préventives, avec l’ensemble des éléments probants stockés de manière sécurisée. Les exigences procédurales garantissent l’impartialité et l’objectivité conformément aux principales normes d’audit, et les revues externes doivent être coordonnées formellement par les rôles Conformité et RSSI pour l’assurance réglementaire. La politique détaille les responsabilités d’un large éventail de parties prenantes, notamment les responsables d’audit interne, la Direction, les équipes informatiques, les chefs de département et les coordinateurs Achats/tiers, chacun ayant des obligations définies concernant la coopération aux audits, la fourniture d’éléments probants, la remédiation et la supervision des tiers. Elle prescrit également le recours à des outils d’automatisation pour la conformité technique et la surveillance des vulnérabilités, et précise la gestion des exceptions, les protocoles de traitement des risques, ainsi que le processus d’escalade en cas de non-conformité. Cette politique est explicitement cartographiée sur des normes mondiales, notamment ISO/IEC 27001:2022 (avec une couverture spécifique de l’audit interne, de la revue de direction et des exigences d’actions correctives et préventives), ISO/IEC 27002:2022 (contrôles de revue et de journalisation d’audit), NIST SP 800-53 (appréciations des contrôles et suivi), GDPR (exigences relatives aux éléments probants et à la piste d'audit), NIS2 et DORA (directives de l’UE pour les secteurs réglementés), et COBIT 2019 (surveillance et conformité). Les politiques de soutien relatives à la gestion des risques, à la conservation des éléments probants, à la gestion des changements, aux contrôles cryptographiques, à la gestion des fournisseurs, à la réponse aux incidents et à la continuité d’activité sont référencées directement, garantissant que le programme d’audit renforce les objectifs de gouvernance plus larges et la conformité réglementaire dans l’ensemble de l’organisation.