ISO 27007 – chapitre 7
Résumé
21/11/2024 1
�Introduction
• Le chapitre 7 de la norme ISO/IEC 27007 concerne "Les compétences des auditeurs" et fournit des lignes
directrices sur les qualifications, les compétences et la formation requises pour les auditeurs impliqués dans
l'audit des systèmes de gestion de la sécurité de l'information (SGSI). Il est essentiel que les auditeurs
possèdent des compétences adéquates pour évaluer de manière fiable la conformité et l'efficacité des SGSI, afin
de garantir que les audits apportent une valeur ajoutée.
21/11/2024 2
�Introduction
• 1. Compétences requises pour les auditeurs
• Le chapitre 7 met en avant l'importance de disposer d'auditeurs compétents pour garantir que les audits sont réalisés correctement et donnent des résultats
pertinents. Les auditeurs doivent être capables de :
• Évaluer les risques de sécurité de l'information : Identifier et analyser les risques liés à la sécurité de l'information afin de comprendre les enjeux
stratégiques pour l'organisation.
• Comprendre les exigences de la norme ISO/IEC 27001 : Avoir une connaissance approfondie de la norme ISO/IEC 27001, ainsi que des autres normes et
pratiques de sécurité de l'information pertinentes.
• Maîtriser les techniques d'audit : Savoir appliquer des techniques d'audit, telles que la collecte de preuves objectives, la conduite d'entretiens, l'analyse
documentaire, et la vérification des contrôles mis en place par le SGSI.
• Apprécier les processus organisationnels : Comprendre les processus et les mécanismes internes de l'organisation afin d'évaluer la façon dont la sécurité
de l'information est intégrée dans les pratiques de gestion.
• 2. Qualités personnelles et comportementales des auditeurs
• Au-delà des compétences techniques et méthodologiques, les auditeurs doivent posséder certaines qualités comportementales essentielles :
• Objectivité et indépendance : L'auditeur doit être impartial et objectif, en particulier lors de la collecte des preuves et de l'évaluation de la conformité du
SGSI.
• Éthique professionnelle : Respecter les principes éthiques de confidentialité, d'intégrité et de transparence dans le cadre de l'audit.
• Capacité de communication : Les auditeurs doivent être capables de communiquer de manière claire et efficace, tant pendant l'audit qu'au moment de la
présentation des résultats.
21/11/2024 3
�Introduction
• 3. Niveaux de compétence des auditeurs
• ISO/IEC 27007 définit différents niveaux d'auditeurs en fonction de leur expérience et de leurs responsabilités :
• Auditeur : Un auditeur de base qui est impliqué dans les audits sous la direction d'un auditeur principal. Il doit posséder une
formation adéquate en matière de sécurité de l'information et d'audit, mais il est généralement moins expérimenté.
• Auditeur principal : L'auditeur principal a une responsabilité plus élevée. Il dirige l'audit, planifie, supervise l'équipe d'auditeurs
et est responsable de l'évaluation finale des résultats. L'auditeur principal doit avoir une vaste expérience en gestion de la sécurité
de l'information et en conduite d'audits complexes.
• Auditeur technique : Un auditeur technique est spécialisé dans certains domaines spécifiques de la sécurité de l'information,
comme la cryptographie, la gestion des incidents, la sécurité des réseaux, etc. Ce type d'auditeur est appelé à intervenir dans des
audits plus spécialisés ou techniques.
• 4. Formation et certification des auditeurs
• Formation continue : Les auditeurs doivent régulièrement suivre des formations pour maintenir et améliorer leurs compétences,
en particulier pour suivre les évolutions des normes de sécurité de l'information, des menaces émergentes, et des nouvelles
technologies.
• Programmes de certification : Il existe des programmes de certification pour les auditeurs ISO/IEC 27001, qui valident leur
capacité à effectuer des audits selon les exigences de la norme. Les certifications peuvent être délivrées par des organismes
reconnus et permettent de garantir que les auditeurs possèdent les compétences requises.
• 5. Évaluation des compétences des auditeurs
• Évaluation interne : L'organisation doit régulièrement évaluer les performances de ses auditeurs pour s'assurer qu'ils respectent
les exigences de la norme et qu'ils sont capables d'effectuer des audits de manière efficace. Cela inclut des évaluations post-audit
et des retours d'expérience.
• Surveillance et amélioration des compétences : En plus des formations formelles, les auditeurs peuvent améliorer leurs
21/11/2024
compétences grâce à des retours d’expérience, des audits internes, et une supervision par des auditeurs plus expérimentés. 4
�Conclusion
Le chapitre 7 d'ISO/IEC 27007 souligne l'importance des compétences et de la qualification des
auditeurs dans le cadre de l'audit des SGSI. Des auditeurs compétents, à tous les niveaux, sont
essentiels pour assurer des audits efficaces, impartiaux et de qualité. Leur expertise technique, leur
éthique professionnelle et leur capacité à communiquer efficacement sont des facteurs clés pour
garantir que les audits aboutissent à des résultats utiles, permettant ainsi d'améliorer la sécurité de
l'information au sein de l'organisation.
Les auditeurs doivent être formés régulièrement et posséder une certification appropriée pour
maintenir un haut niveau de compétence et répondre aux exigences de la norme ISO/IEC 27001.
21/11/2024 5
