Un audit de sécurité n’est pas un moment unique ou un test de dernière minute. Il s’agit plutôt d’un entraînement pour un marathon. Non pas à cause du jour de la course, mais à cause de tout ce qui se passe avant.
Dans un marathon, personne ne décide la veille qu’il va courir 42 kilomètres. Vous ne vous entraînez pas seul la dernière semaine et vous ne comptez pas sur la motivation pour tout arranger. Le corps ne fonctionne tout simplement pas comme cela. C’est exactement la même chose pour les audits. Peu importe la qualité de vos explications ou votre conviction que « nous faisons déjà les choses correctement ». S’il n’y a pas de formation préalable, cela se voit. Et lorsque l’auditeur arrive, c’est très visible.
C’est pourquoi, dans des cadres tels que NIS2, ISO 27001, ENS ou les audits réglementaires, le résultat n’est pas décidé lors de la réunion avec l’auditeur. Il est décidé dans les mois – et souvent les années – qui précèdent, sur la façon dont l’organisation fonctionne lorsque personne ne l’observe.
1) L ‘audit ne consiste pas à raconter une histoire, mais à démontrer une réalité.
Une autre idée reçue est qu’un audit consiste à expliquer ce qui est fait. En réalité, un audit ne valide pas des discours, mais des faits.
L’auditeur ne vient pas pour entendre des promesses et des bonnes intentions. Il vient vérifier que ce qui est écrit est fait, que ce qui est fait laisse une trace et que cette trace peut être suivie sans effort. Les documents, les enregistrements et les personnes finissent par former une seule et même conversation. Lorsque l’un de ces éléments ne correspond pas, le système perd de sa crédibilité.
Par conséquent, le problème n’est presque jamais l’absence de contrôles, mais l’écart entre ce qui a été documenté et ce qui se passe réellement. Lorsqu’une organisation fonctionne de manière cohérente, les preuves apparaissent d’elles-mêmes. Dans le cas contraire, il faut se dépêcher de les chercher, ce qui laisse toujours un indice.
2. Les éléments probants ne sont pas disponibles pour l’audit
Il y a une chose que les auditeurs repèrent très facilement : les preuves créées « pour se conformer ». Des enregistrements récents, des documents parfaits mais sans utilité réelle, des contrôles qui n’ont laissé aucune trace jusqu’à ce que quelqu’un les demande.
En revanche, les audits les moins stressants sont ceux où les preuves existent avant l’arrivée de l’auditeur, parce qu’elles font partie du quotidien. Elles ne sont pas conservées dans un dossier spécial ou ne dépendent pas d’une personne spécifique. Elles sont à leur place, liées à des processus réels et générées dans la continuité.
Lorsque cela se produit, l’audit cesse d’être une menace et devient presque une confirmation. À ce stade, des outils comme ithikios font la différence, non pas parce qu’ils créent des preuves artificielles, mais parce qu’ils aident à les organiser, à les relier et à les rendre visibles lorsqu’il s’agit de prouver que le système fonctionne.
3. Les personnes font également partie des preuves
On oublie parfois qu’un audit ne porte pas uniquement sur des documents. Il porte sur les personnes et les systèmes qu’elles ont conçus. Les auditeurs posent des questions, observent et écoutent. Ils ne recherchent pas des réponses par cœur ou des phrases apprises, mais la cohérence. Que chaque personne sache ce qui s’applique à elle, ce qu’elle fait et pourquoi elle le fait de cette manière. Ce naturel ne s’obtient pas par un discours de dernière minute. Elle se produit lorsque la sécurité est intégrée dans la façon habituelle de travailler.
Lorsque la documentation est créée uniquement pour être conforme, les gens ne s’y reconnaissent pas. Et dans une conversation informelle, cela se remarque en quelques secondes.
4. L’audit n’est pas une confrontation, c’est une collaboration.
L’attitude au cours de l’audit est plus importante qu’on ne le pense souvent. Les auditeurs ne sont ni des policiers ni des juges. Ce sont des professionnels qui font leur travail et, comme tout le monde, ils réagissent mieux lorsqu’ils sont traités avec respect, clarté et honnêteté.
Le fait de répondre directement, de ne pas cacher les problèmes et de ne pas perdre de temps en explications inutiles permet d’instaurer la confiance. Et lorsque la confiance règne, l’audit se déroule mieux. Il existe même un espace légitime – souvent très précieux – dans lequel l’auditeur peut expliquer pourquoi quelque chose ne fonctionne pas ou pourquoi une pratique est saine. Il ne s’agit pas de consultation, mais d’apprentissage. Et cela n’est possible que lorsque la relation est fondée sur la collaboration.
5. Le choix des personnes que vous auditez fait également partie du voyage.
La préparation d’un audit ne se limite pas à l’organisation. Le choix du bon organisme de certification fait également partie du processus. Le prix est important, mais ce n’est pas tout. L’expérience de l’auditeur, sa connaissance du secteur, sa langue ou sa flexibilité peuvent faire la différence entre un audit qui apporte une valeur ajoutée et un audit qui ne fait que consommer de l’énergie.
Un mauvais choix peut coûter cher en facture et très cher en temps, en frustration et en opportunités perdues.
6. En fin de compte, l’audit n’est que le reflet des travaux antérieurs.
Réussir un audit NIS2, ISO 27001 ou ENS ne se fait pas en serrant les dents quelques semaines à l’avance. C’est le résultat naturel d’un travail acharné pendant une longue période. Comme pour un marathon, il ne s’agit pas de courir à fond à la fin, mais de s’être suffisamment entraîné pour arriver à bon port.
Lorsque le travail de base est fait, que les preuves sont là, que les gens savent ce qu’ils font et que l’attitude est ouverte, l’audit n’est plus un examen. Il devient ce qu’il devrait être : la validation calme d’un système qui fonctionne déjà. Et lorsque les preuves sont vivantes, ordonnées et connectées, le voyage devient beaucoup plus facile.
« L’audit ne mesure pas la façon dont vous réagissez lorsque vous êtes observé. Il mesure la façon dont vous travaillez lorsque personne d’autre ne le fait ».
