Quel que soit votre rôle dans le processus d’audit, cette expérience peut s’avérer douloureuse. Si vous êtes consultant externe, vous devez travailler avec des clients dont les budgets sont limités et les attentes élevées. Et si vous êtes auditeur interne de sécurité informatique, il vous faudra sans doute, pour mener à bien votre travail et réussir vos audits, vous frayer un chemin dans l’océan des politiques internes.
Je vais décrire dans ce billet les trois problèmes d’audit les plus courants auxquels nous avons été confrontés au cours des 13 dernières années, et prodiguer quelques conseils. J’espère qu’ils vous permettront de surmonter des défis similaires auxquels vous êtes confrontés dans votre travail.
1. Le manque de communication nuit à votre travail.
Si l’organisation que vous auditez ne comprend pas l’étendue ni le but de votre programme d’audit, vous risquez de créer un environnement dans lequel les personnes que vous interrogez sont moins enclines à répondre – au point d’être même hostiles. Voici quelques moyens d’éviter cette situation et de développer une relation de travail saine basée sur la confiance :
- Évitez le jargon technique, qui ne fait qu’engendrer confusion et occasions manquées. En tant qu’auditeur, vous êtes probablement très à l’aise avec tous les acronymes et le jargon qui se rapportent à votre métier, mais ne supposez pas que vos clients comprennent et apprécient un tel langage. Lorsque vous posez vos questions d’audit, formulez-les simplement dans la mesure du possible. Il se peut que vous deviez demander des choses extrêmement techniques à des membres du personnel qui n’ont pas reçu une formation très technique. Si vous posez une question et que vous vous retrouvez face à une salle pleine de regards vides, essayez de reformuler ou d’utiliser un exemple. Si, par exemple, je pose des questions sur la protection périmétrique du réseau d’une entreprise, je ne mentionne pas des termes comme « IDS/IPS » et « AV de nouvelle génération ». Je commence plutôt par quelque chose du genre : « Parlez-moi un peu de votre pare-feu – est-ce qu’il bloque de façon traditionnelle ou est-ce qu’il inclut une technologie plus avancée offrant des fonctionnalités supplémentaires comme l’analyse des virus ou le blocage de certains sites Web ? »
- Établissez des relations amicales avec le personnel informatique et de la sécurité. Souvent, lorsque je réalise un audit, je commence par discuter avec un cadre dirigeant, mais l’essentiel de l’évaluation se fait avec un membre du personnel informatique ou de la sécurité. Naturellement, ces gens peuvent se sentir menacés et se mettre un peu sur la défensive lorsqu’ils doivent expliquer à un étranger comment le réseau est conçu et sécurisé. Les deux meilleurs moyens que j’ai trouvés pour apaiser les tensions sont la gentillesse et la nourriture. Apportez des viennoiseries lors de votre première rencontre avec le service informatique/sécurité du client. Au fur et à mesure que les langues se délient, rassurez vos interlocuteurs avec des phrases comme celles-ci : « Pour être clair, mon travail ici ne consiste pas à critiquer le travail que vous faites. Je veux travailler avec vous pour identifier les risques et vous aider à élaborer un plan de remédiation. Et je veux connaître votre point de vue sur ce dont cette entreprise a besoin pour mieux protéger son personnel et ses données. Vous avez peut-être réclamé un SIEM et des capacités d’automatisation de la sécurité depuis des années, mais personne ne vous a écoutés. Une partie de mon travail consiste à vous soutenir et à faire écho à ce genre de demandes auprès de la direction. En fait, je veux essayer d’obtenir certaines des choses que vous-mêmes désirez. » Une fois que l’équipe aura compris que vous êtes de son côté, elle répondra à vos questions avec plus de sincérité, les éléments probants seront plus précis, la qualité de l’audit s’en trouvera améliorée et chacun tirera un meilleur parti de cette évaluation.
2. Le glissement du champ d’application d’un audit coûte du temps et de l’argent à tout le monde.
Une fois l’audit commencé, les discussions peuvent facilement s’éloigner du sujet et avant de vous en rendre compte, vous passez du temps à parler et à travailler sur des choses qui sont hors champ d’application. Il est naturel de vouloir aider, mais vous constaterez probablement au bout d’un moment que tous ces petits instants qui s’accumulent peuvent vous coûter, à vous et à l’organisation que vous auditez, énormément de temps et d’argent.
Sachez qu’il n’y a rien de mal à définir votre champ d’application – et à vous y tenir – au cours de votre mission. La plupart des organisations devant se conformer à une ou plusieurs normes réglementaires (loi Sarbanes-Oxley, PCI, HIPAA, RGPD, etc.), utilisez-les comme référence pour définir les contrôles internes de l’organisation. Cela vous aidera à orienter votre travail et à garder tout le monde sur la bonne voie.
Si le client insiste pour vous demander votre avis et vous fait passer du temps sur des questions hors du champ d’application, c’est qu’il apprécie votre expertise. Expliquez-lui que toute question sortant du champ d’application initial peut faire l’objet d’un nouveau projet, qui coûtera du temps et de l’argent supplémentaires, surtout si vos honoraires d’audit sont facturés par projet. Simplifiez ce genre de requêtes pour vos clients en ayant un formulaire de demande de changement à portée de main, afin qu’ils puissent approuver rapidement les heures supplémentaires résultantes. Ainsi, c’est gagnant-gagnant.
3. Les audits en forme de dénonciation et de remontrance sont humiliants et improductifs.
Je pense qu’il est commode – et tentant – de rédiger votre évaluation d’audit en employant un ton cinglant ou accusatoire, dans l’idée que si vous remplissez le rapport avec suffisamment de constatations très graves, la direction sera motivée de prendre les mesures correctives nécessaires. Ce qui arrive souvent, au lieu de cela, c’est que le personnel informatique/sécurité (les responsables qui essaient en fait d’améliorer les choses) se fait réprimander pour vos conclusions, le moral de leur équipe en souffre, et tout le monde est déprimé par votre rapport de mille pages.
Plutôt que de mettre l’accent sur les réprimandes, concentrez-vous sur les mesures correctives. La plupart des entreprises savent qu’elles ont des problèmes et elles se tournent vers vous pour obtenir de l’aide et des conseils. Un élément que j’inclus dans mes livrables suite à l’audit est un plan d’action de sécurité avec des conseils de remédiation pour chaque risque identifié, ainsi que le temps et les coûts de remédiation prévus. De cette façon, les clients peuvent combiner le rapport d’audit détaillé avec le plan d’action de sécurité, et ainsi disposer d’un manuel à suivre pour réellement améliorer l’organisation ! En tant que consultants et auditeurs, c’est ce que nous voulons pour nos clients et nos organisations, et c’est la raison pour laquelle nous nous sommes lancés dans la profession d’auditeur, non ?
Conclusion
Dans le secteur de l’audit, le taux de chômage reste extrêmement bas et le nombre d’auditeurs informatiques et de sécurité ne fait que croître. Si vous êtes auditeur, cela signifie que vous devez travailler encore plus dur pour vous démarquer sur le marché. J’espère que ces informations vous aideront à accroître votre efficacité et à faire en sorte que vos futurs audits aient un impact positif tout en restant dans les limites de leur champ d’application et de leur budget. J’espère surtout qu’il vous sera très utile et rendra votre organisation plus sûre.
