De nombreuses entreprises pensent être prêtes pour un audit ISO 27001 parce qu’elles disposent de procédures internes rédigées, d’outils de sécurité performants ou de documents RH centralisés. L’obtention ou le maintien de cette certification est aujourd’hui un véritable enjeu stratégique, indispensable pour garantir la confiance des clients et des partenaires commerciaux. Pourtant, lors des audits de certification ou de suivi annuel, un problème majeur et récurrent apparaît : l’incapacité à démontrer clairement qui a eu accès à quoi, à quel moment, et sur quelle validation.
Le décalage entre la théorie et la réalité opérationnelle La gestion des accès utilisateurs reste l’un des points les plus sensibles et examinés à la loupe dans les processus de conformité. En théorie, les règles existent et les chartes informatiques sont signées par les collaborateurs. Dans la pratique, les preuves opérationnelles sont souvent incomplètes, dispersées ou impossibles à reconstituer de manière fiable plusieurs mois après les faits.
Dans beaucoup d’organisations, les demandes de création, de modification ou de suppression d’accès passent encore par des canaux beaucoup trop informels :
- Des emails perdus dans des boîtes saturées ;
- Des messages instantanés sans véritable traçabilité ;
- Des fichiers Excel mis à jour manuellement et sujets aux erreurs ;
- Des validations orales accordées dans l’urgence ;
- Ou des tickets de support informatique incomplets.
Une approche centralisée permet de renforcer considérablement la conformité et la qualité de la piste d’audit.
Les enjeux liés à cette traçabilité documentaire sont détaillés dans cette analyse consacrée à l’audit des accès IT.
L’absence d’une piste d’audit fiable
Ce fonctionnement artisanal devient critique lorsqu’un auditeur externe exige une preuve formelle. Il ne se contente pas de savoir que l’accès a été donné, il veut vérifier plusieurs points précis : qui a validé cet accès ? À quelle date exacte ? Pour quel collaborateur ou prestataire ? Avec quel périmètre de droits ? Et surtout, quand cet accès a-t-il été révoqué ? Très souvent, les directions découvrent à ce moment précis qu’elles disposent d’informations parcellaires, mais pas d’une véritable « piste d’audit » inaltérable et exploitable.
L’offboarding : un angle mort très fréquent
Les départs de collaborateurs ou les mobilités internes représentent également un risque majeur de non-conformité. Une entreprise peut tout à fait posséder une procédure d’offboarding (départ) documentée sur le papier, sans pour autant être capable de prouver son exécution réelle sur le terrain. Lors d’un contrôle, les questions deviennent alors épineuses : les accès aux applications SaaS et aux serveurs ont-ils réellement été coupés le jour du départ ? Le matériel a-t-il été restitué ? Les validations ont-elles été signées par les managers concernés ? Existe-t-il des preuves horodatées pour chaque étape ? En l’absence de traçabilité stricte, le processus repose souvent sur la bonne foi plutôt que sur des éléments vérifiables.
La preuve opérationnelle devient le cœur de la certification
Les normes de sécurité ont évolué. Les auditeurs modernes ne se limitent plus à vérifier l’existence d’une procédure ; ils cherchent des preuves concrètes de son exécution systématique. Cette exigence pousse les entreprises à structurer la conservation de leurs preuves : validations hiérarchiques, signatures électroniques, justificatifs et historiques d’actions. Une approche centralisée permet de renforcer considérablement la conformité. D’ailleurs, les enjeux liés à cette traçabilité documentaire sont parfaitement détaillés dans cette analyse consacrée à l’audit des accès IT.
Anticiper plutôt que reconstruire dans l’urgence
Le principal problème apparaît souvent après coup. Lorsqu’un incident survient ou lorsqu’un audit démarre, les équipes se lancent dans une course contre la montre pour reconstituer l’historique des validations à partir d’outils dispersés. Cette reconstruction prend un temps précieux et laisse fréquemment apparaître des zones d’ombre. À l’inverse, une organisation qui structure et fige ses preuves dès la demande initiale réduit drastiquement les risques d’audit non conforme, d’accès oubliés ou de conflits internes. Finalement, la conformité ISO 27001 ne repose pas uniquement sur des politiques de sécurité, mais sur la capacité quotidienne à démontrer concrètement ses actions.
