Avec l’entrée en application prochaine de deux grands textes européens en matière de cybersécurité, les audits de sécurité informatique à des fins réglementaires vont se multiplier dans l’Union européenne. Un nouveau cadre légal qui insiste sur la responsabilité des entités essentielles (EE), des entités importantes (EI), des acteurs du secteur financier… et de leurs sous-traitants !
Qu’entend-on par « audits réglementaires » ?
Il existe différents types d’audits de cybersécurité que l’on peut classer en deux grandes catégories : les premiers sont d’ordre organisationnel (conformité, maturité, continuité des activités, gestion de crise) et les seconds, d’ordre technique (vulnérabilité [pentest], configuration, code, architecture).
Certaines démarches d’audit peuvent être qualifiées de transverses, car elles couvrent plusieurs des aspects précités. De nouveaux types d’audit peuvent enfin émerger à l’image des audits de trace mentionnés dans le nouveau référentiel Hébergement des Données de Santé 2024.
La norme ISO 19011 définit 3 types d’audit en fonction de l’entité auditrice:
• les « audits première partie » correspondent ainsi aux audits internes,
• les « audits deuxième partie » aux audits des prestataires ou parties intéressées externes. Ils sont donc menés à bien par des acteurs ayant un intérêt à l’égard de l’organisme audité (des clients par exemple).
• les « audits tierce partie » regroupent les audits réalisés par un organisme indépendant en vue d’obtenir une certification et/ou une accréditation. Ces derniers sont également appelés audit à des fins légales, réglementaires et similaires.
Que dit la loi ?
De nombreux textes mentionnent les audits et imposent de les réaliser pour se trouver en conformité. On les retrouve ainsi dans la Règle 2 de la Loi de Programmation Militaire (LPM), la Règle 5 de NIS 1, l’article 32 de la directive NIS 2 et l’Objectif 5 de sa transposition française (en cours) et, les articles 25, 26 et 27 du règlement DORA ou encore l’exigence 16 du référentiel HDS.
Au-delà d’obligations d’audit « classiques », NIS 2 et DORA mettent l’accent sur l’implication des sous-traitants : une entreprise doit se porter garante de la conformité sur toute sa chaine de sous-traitance sur les activités critiques. Elle procèdera donc à des audits de tiers, qui pourront s’intégrer aux revues déjà en place le cas échéant.
« C’est la vraie nouveauté en matière de contrôle des tiers : une mention dans le contrat ne suffit plus. Depuis le RGPD et l’affaire SolarWinds, on observe un tournant dans la gestion de la supply chain. Nous sommes passés d’une notion administrative de la conformité à celle de la responsabilité sur toute la chaine, mise en avant dans tous les nouveaux textes européens. »
Nicolas Pierre, responsable conformité Advens
Que dit NIS 2 sur les audits ?
La nouvelle directive européenne NIS 2 indiquerait dans son objectif 5 que seules les entités essentielles (EE) auraient l’obligation de faire des audits sur l’intégralité de leurs SI. En revanche, toutes les entités visées par le texte, essentielles et importantes, devraient être obligées de contrôler leurs tiers selon l’objectif 4. Néanmoins, seules les EE seraient inspectées par l’autorité de contrôle : les EI ne le seraient qu’en cas de faute avérée ou de dénonciation.
Que dit DORA sur les audits ?
Dans le règlement DORA, les audits portent sur des aspects techniques et non techniques. Le texte apporte la première définition légale de ce qu’est un test d’intrusion et décrit avec un niveau de précision jamais vu le déroulé d’audit (sur quel environnement doit-il porter, quelle forme doit prendre le rapport, etc.). Et mentionne aussi les fameux TLPT.
Les audits DORA cherchent à évaluer le risque lié aux prestataires tiers de services TIC et sont imposés par des tiers. Ils intègrent une notion de périodicité (exercice annuel en interne, triennal en externe).
Conséquences : une charge d’audit non négligeable
À ce jour, il n’existe pas en France de certification permettant à une organisation d’afficher sa conformité NIS 2 et/ou DORA ou de s’assurer de la conformité de ses tiers.
Cette situation implique une charge d’audits nouvelle, en particulier chez les sous-traitants qui pourront être sollicités par leurs différents clients à ce sujet. La charge est aussi financière car ces audits coûtent cher. Se pose alors la question de la mise en commun : peut-on mutualiser les audits pour remplir plusieurs obligations réglementaires à la fois ?
Pour les entités concernées par la conformité NIS 2 ou DORA, la question ne se pose pas : DORA étant un règlement spécifique (lex specialis) qui prime sur la directive généraliste NIS 2, elles n’ont à répondre aux obligations d’audit que de l’un des deux textes.
En revanche, pour leurs sous-traitants, certains recoupements sont possibles en matière d’audits techniques : un même rapport d’audit pourrait éventuellement être présenté pour remplir leurs obligations NIS 2 et DORA. C’est plus rare pour les audits organisationnels dont les niveaux de précision diffèrent.
Attention également à la question du périmètre car là où NIS 2 englobe tous les SI, DORA ne s’applique « que » aux SI finance. Des audits complémentaires peuvent donc être nécessaires pour un sous-traitant soumis aux deux.
Comment cadrer une démarche d’audit réalisée à des fins réglementaires ?
Comme pour toute démarche d’audit, le succès de ces exercices réside dans le choix du bon périmètre. Il est donc important à ce stade de disposer d’une cartographie à jour de ses SI pour savoir exactement ce que l’on va auditer.
Pour les entreprises qui deviennent garantes de la conformité de tous leurs sous-traitants sur des activités critiques, une réflexion peut être nécessaire sur la meilleure façon d’intégrer les audits techniques de tiers mais certaines clauses figurent déjà dans les contrats, sur le RGPD par exemple. De leur côté, les entreprises matures sur ces questions disposent déjà de programmes d’audit rodés qui permettent de ne pas surcharger les équipes. L’arrivée de DORA et NIS 2 entrainera peut-être une augmentation du budget et des efforts de suivi mais ces structures ne découvrent pas l’exercice.
Conclusion
Il y a certes une formule à trouver pour passer moins de temps sur ces exercices d’audit chronophages mais ils ont la vertu de préparer aux audits à venir, menés par les autorités de contrôle (ACPR dans le cas de DORA, a priori ANSSI pour NIS 2, à l’image de ce que fait la CNIL dans le cas du RGPD).
