La vision de Cyber Academy
La certification ISO initiale se divise en phase 1 (revue documentaire et évaluation de la maturité, généralement 1 à 2 jours) et phase 2 (audit des preuves opérationnelles, 2 à 5 jours). La phase 1 confirme que le système de management existe sur le papier ; la phase 2 vérifie qu'il fonctionne réellement. La plupart des audits de phase 2 « échoués » sont des problèmes de phase 1 que personne n'a corrigés entre-temps.
Une certification accréditée par rapport à une norme de système de management telle qu'ISO/IEC 27001 ne se résume pas à une seule visite. L'organisme de certification mène un audit initial en deux étapes distinctes, qui répondent à deux questions différentes. L'étape 1 demande si le système de management existe et s'il est prêt à être audité. L'étape 2 demande s'il fonctionne réellement en pratique. Traiter ces deux étapes comme un examen unique et continu est la façon la plus courante pour les équipes d'être prises au dépourvu, car les deux étapes récompensent des types de préparation totalement différents.
Ce que l'étape 1 vérifie réellement
L'étape 1 est une revue de l'état de préparation et de la documentation, généralement la plus courte des deux. L'auditeur lit vos documents fondamentaux, confirme que le périmètre est cohérent et recherche les artefacts obligatoires exigés par la norme. Pour un SMSI, cela signifie la Déclaration d'applicabilité, le processus d'appréciation et de traitement des risques, la politique de sécurité, les enregistrements d'audit interne et de revue de direction, ainsi que la preuve que le système fonctionne depuis assez longtemps pour produire des données. Le livrable n'est pas un certificat. Il s'agit d'un résumé écrit des constats et des points de préoccupation que vous êtes censé clôturer avant l'étape 2.
En pratique, l'étape 1 est votre système d'alerte précoce. L'auditeur signale les écarts pendant qu'il est encore temps de les corriger. Les équipes qui lisent ces constats comme une liste de tâches arrivent préparées à l'étape 2. Les équipes qui les classent et passent à autre chose sont celles qui peinent ensuite.
Ce que l'étape 2 vérifie
L'étape 2 est l'audit des preuves opérationnelles, et elle est généralement plus longue. L'auditeur passe du « la politique dit que » au « montrez-moi que cela s'est produit ». Il échantillonne des enregistrements, interroge les personnes qui exploitent les mesures de sécurité, suit les incidents et les revues d'accès jusqu'à leur clôture, et vérifie si le processus documenté correspond à la réalité quotidienne. C'est là que la Déclaration d'applicabilité est recoupée avec des preuves d'exploitation réelles, et là que les mesures de sécurité faibles qui semblaient correctes sur le papier se désagrègent.
Étape 1 et étape 2 en un coup d'œil
| Dimension | Étape 1 | Étape 2 |
|---|---|---|
| Question centrale | Le système existe-t-il et est-il prêt ? | Le système fonctionne-t-il réellement ? |
| Entrée principale | Documentation et revue de conception | Enregistrements d'exploitation, entretiens, échantillonnage |
| Durée typique | Plus courte (axée sur la documentation) | Plus longue (axée sur les preuves) |
| Résultat principal | Constats et points de préoccupation à clôturer | Non-conformités et décision de certification |
| Ce qu'elle récompense | Une documentation complète et cohérente | La discipline et des preuves traçables dans la durée |
Ce que les praticiens font entre les deux visites
La fenêtre entre l'étape 1 et l'étape 2 est le véritable travail. Les constats de l'étape 1 ne sont pas encore des non-conformités, il n'y a donc pas de plan d'action corrective formel, mais ils indiquent exactement là où l'étape 2 va sonder. Les équipes solides convertissent chaque observation de l'étape 1 en un responsable, une action et une échéance, puis s'assurent que la preuve qui la clôture se trouve dans les enregistrements que l'auditeur échantillonnera. Elles maintiennent également le système en fonctionnement normal plutôt que d'organiser un nettoyage ponctuel, car l'étape 2 recherche une exploitation soutenue, et non un instantané bien rangé.
Lorsque l'étape 2 soulève effectivement une non-conformité, la réponse relève de la même discipline qu'attend un audit de surveillance : la classer honnêtement en majeure ou mineure, planifier une action corrective assortie d'une échéance, et traiter la cause racine plutôt que le symptôme. La décision de certification suit une fois que l'organisme de certification est convaincu que ces actions tiennent.
Frequently asked questions
01Peut-on échouer à l'étape 1 d'un audit ISO ?
L'étape 1 ne produit généralement pas de réussite ou d'échec à la manière de l'étape 2. Elle produit plutôt des constats et des points de préoccupation. Si des écarts sérieux sont relevés, l'auditeur peut reporter l'étape 2 jusqu'à leur résolution ; ainsi, les problèmes non résolus de l'étape 1 repoussent de fait la certification.
02Combien de temps entre l'étape 1 et l'étape 2 ?
L'intervalle est fixé par l'organisme de certification et vise à vous laisser assez de temps pour clôturer les constats de l'étape 1, sans pour autant être si long que le système dérive. Utilisez toute la fenêtre pour agir sur les constats plutôt que d'attendre juste avant la seconde visite.
03Quelle est la différence entre l'étape 1 et l'étape 2 ?
L'étape 1 est une revue de la documentation et de l'état de préparation qui confirme que le système de management existe sur le papier. L'étape 2 est un audit opérationnel qui vérifie que le système fonctionne réellement, à l'aide d'enregistrements, d'entretiens et d'échantillonnage.
04Les non-conformités proviennent-elles uniquement de l'étape 2 ?
Les non-conformités formelles qui affectent la décision de certification sont normalement soulevées à l'étape 2. L'étape 1 produit des constats et des points de préoccupation, qui sont des avertissements à corriger avant l'étape 2. Les ignorer est la façon dont les problèmes de l'étape 1 se transforment en non-conformités à l'étape 2.