Préparation d'audit de conformité : un compte à rebours de 90 jours

Jours 90–60 : Évaluation et définition du périmètre

Semaine 1 : Examinez les exigences de votre cadre de référence et identifiez les lacunes en matière de preuves. Semaine 2 : Définissez le périmètre de votre Penetration Testing afin qu’il corresponde à votre limite de conformité (description du système pour SOC 2, CDE pour PCI DSS, périmètre du SMSI pour ISO 27001). Semaine 3 : Faites appel à votre fournisseur de tests et planifiez l’engagement. Semaine 4 : Préparez l’environnement de test, créez des comptes de test et informez les équipes concernées. Commencez à recueillir des preuves hors test (politiques, procédures, examens d’accès).

Jours 60–30 : Tests et correction

Semaines 5 à 6 : Le Penetration Testing et l’analyse des vulnérabilités sont exécutés. Les résultats apparaissent en temps réel si vous utilisez une plateforme TaaS comme Penetrify. Commencez immédiatement la correction des conclusions critiques et élevées. Semaines 7 à 8 : Terminez la correction de toutes les conclusions critiques et élevées. Demandez de nouveaux tests pour les corrections terminées. Compilez les preuves de nouveau test confirmant la correction.

Jours 30–0 : Documentation et examen

Semaines 9 à 10 : Finalisez le rapport de conformité avec la méthodologie, les conclusions, la correction et les preuves de nouveau test. Vérifiez que tous les mappages de contrôle du cadre de référence sont terminés. Semaines 11 à 12 : Effectuez un examen interne de toutes les preuves. Vérifiez que les dates des Penetration Testing se situent dans la période d’audit. Confirmez que l’alignement du périmètre correspond à la limite du cadre de référence. Préparez-vous aux questions de l’auditeur sur les conclusions et la correction.

Pourquoi les audits échouent

Démarrage du Penetration Testing trop tard (pas le temps d’effectuer la correction avant l’audit). Le périmètre du Penetration Testing n’est pas aligné sur la limite de conformité. Preuves de nouveau test manquantes pour les conclusions corrigées. Preuves datées en dehors de la période d’audit. Rapports génériques sans mappage de contrôle spécifique au cadre de référence.

L'essentiel

La préparation à l’audit est un projet de 90 jours, pas une tâche de 90 minutes. Commencez tôt, alignez votre périmètre de Penetration Testing sur votre limite de conformité et travaillez avec un fournisseur, comme Penetrify, qui produit des rapports prêts pour la conformité avec des nouveaux tests intégrés afin que vous n’ayez pas à vous démener pour trouver des preuves dans les dernières semaines.

Foire aux questions

Combien de temps à l'avance dois-je commencer la préparation de l'audit ?

90 jours minimum. Cela laisse le temps pour le Penetration Testing (semaines 1 à 6), la correction et les nouveaux tests (semaines 5 à 10) et la compilation de la documentation (semaines 9 à 12).

Quelle est la raison la plus courante de l'échec des audits ?

Démarrer le Penetration Testing trop tard, ne laissant pas le temps de corriger les conclusions et de générer des preuves de nouveau test avant que l’auditeur n’examine les preuves.