Se préparer pour un audit de sécurité vient avec une lourde charge mentale. Il y a tellement de choses à penser : Avez-vous établi le bon périmètre ? Mis en œuvre correctement les contrôles ? Vos politiques sont-elles conformes ?

Choisir une société d'audit peut sembler être une décision de plus à prendre. Il peut être tentant de trouver la société d'audit la moins chère de votre région ou celle avec la liste d'attente la plus courte. Mais trouver une société qui comprend les menaces de votre secteur, les obligations en matière de protection des données personnelles et les besoins en sécurité de l'information est un investissement qui rapporte des dividendes pendant l'audit et au-delà.

Choisir une société d'audit pour votre démarche de conformité est un choix important qui aura un impact majeur sur votre expérience de l'audit et votre rapport final ou certification. Pour vous aider à trouver l'auditeur qui répondra à vos besoins, nous avons rassemblé plus de 15 conseils pour évaluer les sociétés d'audit de nos partenaires de confiance.

Que fait un auditeur ?

De nombreux efforts de conformité en matière de sécurité et de protection des données personnelles comme SOC 2 et ISO 27001 nécessitent un audit externe réalisé par un auditeur en sécurité de l'information. Ce sont des experts en conformité qui peuvent évaluer l'efficacité de votre programme de sécurité et déterminer s'il respecte les normes et exigences spécifiques de votre cadre de référence choisi.

Après l'évaluation, l'auditeur crée un rapport détaillé qui résume leurs conclusions, y compris une description du système qu'ils ont évalué, un résumé des problèmes qu'ils ont découverts lors de l'audit et leurs recommandations pour des améliorations.

Comment choisir un auditeur

Les meilleurs auditeurs sont vos partenaires dans le processus de conformité. Voici nos conseils pour vous aider à sélectionner un auditeur qui convient aux besoins de votre organisation.

1. Vérifiez les accréditations

Quelle que soit la certification de sécurité que vous avez choisi de poursuivre, il est important de vérifier que votre auditeur possède les qualifications nécessaires pour évaluer la posture de sécurité et les contrôles de votre organisation.

Par exemple, les audits SOC 2 ne peuvent être effectués que par un expert-comptable ou un cabinet d'expertise comptable qualifié et accrédité par l'American Institute of Certified Public Accountants (AICPA). Un audit ISO 27001 Stage 2 ne peut être réalisé que par un auditeur certifié, et une certification ne peut être délivrée que par un organisme de certification accrédité.

Dans certains cas, vous pouvez décider de travailler avec une société qui n'est pas encore accréditée dans l'un des cadres qui vous intéressent. L'essentiel est d'analyser si l'expérience de la société d'audit est alignée avec les objectifs de votre organisation, explique Steve Ryan, gestionnaire des services d'attestation chez Barr Advisory. "Par exemple, si votre organisation est intéressée par une certification ISO 27001 et que la société d'audit commence une pratique ISO et n'est pas encore accréditée, déterminez si vous êtes à l'aise de passer par un nouveau processus avec eux ou si vous préférez une société plus expérimentée," dit-il.

2. Évaluer l'expérience

Ensuite, vous devez évaluer l'expérience des cabinets d'audit que vous envisagez en termes d'industrie, de taille des clients, d'outils, de formation et d'autres facteurs.

Les cabinets d'audit ayant de l'expérience avec des organisations similaires à la vôtre auront une compréhension approfondie des meilleures pratiques et des exigences de l'industrie, ce qui signifie généralement un processus d'audit plus rapide et des perspectives plus significatives de votre posture de sécurité globale.

La profondeur de l'expérience d'une firme dans l'industrie peut les rendre mieux équipés pour comprendre la complexité de votre environnement, selon Chris Roe, un responsable chez Sensiba San Filippo. “Il est essentiel de s'assurer que votre auditeur a de l'expérience avec une variété d'environnements différents pour déterminer que vous obtenez les contrôles qui correspondent le mieux à vos systèmes concernés et éviter les complications inutiles,” dit-il.

Ryan indique que vous devez également prendre en compte la taille des clients précédents d'un cabinet d'audit. “Lors de l'évaluation de l'expérience d'un auditeur, vous devez comprendre quel est leur domaine de spécialisation. Par exemple, s'ils n'ont d'expérience qu'avec des startups et que vous recherchez un auditeur pour votre organisation d'entreprise, ils peuvent ne pas avoir l'expérience que vous recherchez.”

Il est également important de s'assurer que les auditeurs ont de l'expérience avec l'outil d'automatisation de la conformité que vous utilisez — si vous en utilisez un — afin qu'ils puissent en tirer le meilleur parti, dit Roe.

Lorsque vous commencez à évaluer l'expérience de différents cabinets d'audit, consultez leurs sites web et examinez les profils des auditeurs pour évaluer le nombre moyen d'années d'expérience et les certifications en sécurité de l'information que leurs auditeurs possèdent.

“Il peut également être utile de voir s'ils ont de l'expérience dans un cabinet de comptabilité publique Big 4 (PwC, Deloitte, EY, KPMG) car cela est largement reconnu comme étant le meilleur environnement pour se former en tant qu'auditeur,” dit Matthew A. Drewyor, principal gestionnaire chez Sentry Assurance.

Ensuite, lors des entretiens, vous pouvez poser des questions sur leur expérience dans votre secteur, différents environnements et outils d'automatisation de la conformité.

3. Confirmer qui effectuera l'évaluation

Lors de l'évaluation des cabinets d'audit, Richard Rieben, associé chez Linford & Company, LLP recommande également de poser des questions sur leur approche de personnel.

“Les personnes évaluant les cabinets d'audit doivent comprendre combien d'expérience leur ressource assignée a dans la réalisation du type spécifique d'audit ou d'évaluation qui est mené,” dit-il. “Il n'est pas inhabituel que des cadres supérieurs vendent des engagements puis désignent des ressources de niveau junior pour effectuer la livraison réelle de l'engagement. Cela peut créer un écart entre les attentes et la réalité de l'expérience qu'un client rencontre.”

Pour éviter les surprises, il est important de discuter avec le personnel qui effectuera votre audit, dit Rieben.

Nirav Shah, principal des services d'assurance et de conseil en risques informatiques chez Hancock Askew & Co, LLP, recommande également de demander qui effectuera réellement l'évaluation et si les partenaires ou gestionnaires du cabinet feront partie de l'engagement. Il est également important de comprendre si le cabinet dispose d'une équipe de vente ou de service et quel est leur rôle dans le processus, dit-il.

Poser ces questions vous aidera à comprendre qui fera partie de l'ensemble du processus d'audit et s'il y aura des transferts à d'autres équipes ou praticiens.

4. Vérifiez les multiples cadres de certification

La plupart des organisations auront besoin de plus d'un cadre de conformité en matière de sécurité pour satisfaire les clients, y compris SOC 2, ISO 27001, PCI DSS, HIPAA, RGPD, CCPA, NIST 800-53, CMMC, ou une combinaison de ceux-ci. Travailler avec la même entreprise pour plusieurs certifications rend le processus d'audit global plus efficace et permet souvent de gagner du temps et de l'argent.

Rieben souligne également l'importance de demander à une entreprise d'audit son processus de délivrance de plusieurs certifications. “Si votre organisation prévoit de poursuivre plusieurs audits ou certifications (par exemple SOC 2 ainsi que ISO 27001), elle devrait considérer si l'entreprise qu'elle évalue a la capacité de fournir ces services dans le cadre d'une seule mission avec une seule équipe de livraison. De nombreuses entreprises auront différentes équipes et différents délais pour des évaluations distinctes, tandis que certaines entreprises sont en mesure de fournir plusieurs rapports dans le cadre d'une seule mission d'audit.”

Même si vous ne recherchez qu'un seul cadre de conformité au départ, il est très probable que vous aurez besoin de plusieurs certifications à mesure que votre entreprise se développera sur de nouveaux marchés, industries et géographies. C'est pourquoi vous avez besoin d'un partenaire d'audit qui peut évoluer avec vous, dit Drewyor.

“Plus vous grandissez, plus il est probable que vos besoins de conformité évolueront,” dit-il. “À mesure que ces besoins évoluent, vous voudrez avoir la connaissance et l'histoire avec votre partenaire d'audit - vous ne voudrez pas avoir le fardeau supplémentaire d'une nouvelle équipe et d'une courbe d'apprentissage. Vous avez donc besoin d'un partenaire d'audit qui peut évoluer avec vous.”

Cela ne signifie pas nécessairement que vous devez choisir l'entreprise d'audit qui prend en charge le plus grand nombre de cadres de certification, cependant. Ryan Johanson, partenaire chez Groupe Johanson, dit : “Le client doit se demander à quoi ressemble sa propre feuille de route. Si le client ne va jamais faire un CMMC ou un audit PCI, alors une entreprise qui offre ces services n'apporte aucune valeur ajoutée au client. Cherchez une entreprise qui offre les services dont vous avez actuellement besoin ou qui sont sur votre horizon proche.”

5. Vérifiez les services d'évaluation de l'état de préparation et/ou d'analyse des écarts

À moins que vous n'ayez déjà un expert en sécurité de l'information dans votre personnel, il est probable que vous devrez effectuer une analyse des écarts et/ou une évaluation de l'état de préparation dans le cadre du processus de préparation à l'audit. De nombreuses entreprises d'audit offrent ces services pour donner à leurs clients une vision complète de tout problème dans leur environnement actuel qui pourrait les empêcher de répondre aux exigences de conformité.

Un auditeur expérimenté travaillera avec vous pour identifier tous les problèmes potentiels avec vos systèmes, politiques, processus et contrôles afin que vous puissiez remédier à toute lacune et éviter de perdre du temps avec plusieurs audits.

D'après Roe, l'objectif est de trouver une entreprise qui vise à être un conseiller de confiance et non seulement un cabinet d'audit. « Vous voulez vous assurer que votre auditeur sera là pour vous guider sur les améliorations de la sécurité et les meilleures pratiques standard de l'industrie pour soutenir l'évolution des technologies et de la sécurité », dit-il.

6. Comprendre leur processus d'audit

Il est essentiel que vous compreniez comment l'audit sera mené. Pour avoir une idée claire du processus d'un auditeur, David English, le directeur des ventes et du marketing au British Assessment Bureau, recommande de revoir les rapports précédents de l'auditeur ou de demander des exemples de la manière dont ils analysent les données et les informations lors de l'audit. « Recherchez des preuves de leur capacité à identifier des tendances, des motifs et les causes profondes des problèmes », dit-il.

Il est également judicieux de se faire une idée de la manière dont l'auditeur préfère communiquer avec les clients. Quels outils utiliserez-vous pour partager de manière sécurisée des informations sensibles ? Devrez-vous télécharger des preuves d'audit sur un drive partagé ou votre auditeur pourra-t-il simplifier le processus en accédant à votre Secureframe Data Room ? Discuterez-vous de l'avancement de l'audit et des demandes de preuves supplémentaires par email ou par téléphone ?

« Un point de douleur majeur que nous rencontrons avec les clients insatisfaits des précédents auditeurs est le manque de communication et de transparence », dit Drewyor. Pour éviter cela, il dit de poser des questions sur le style de communication lors du processus d'évaluation : « Demandez-leur quelles sont leurs méthodes de communication, de reporting et de gestion de projet, et comment ils vont s'assurer que vous restez informé des progrès et de l'avancement de votre audit. »

Ryan dit que poser des questions sur le processus d'audit devrait également vous aider à évaluer les valeurs de l'entreprise. « Ces questions devraient révéler si un auditeur se contente de cocher des cases ou s'il va vraiment prendre le temps de comprendre votre environnement, identifier les opportunités d'amélioration des processus et vous aider à atteindre vos objectifs finaux pour améliorer votre posture globale de sécurité. »

Dans l'ensemble, assurez-vous que le processus par lequel l'audit sera mené correspond aux attentes et aux objectifs de votre organisation.

7. Discuter des délais

Il est essentiel qu'un auditeur soit capable de travailler avec votre échéancier prévu.

Lors des entretiens avec des auditeurs potentiels, demandez quel est le délai moyen entre la fin d'un audit et la livraison du rapport final. Ensuite, avant de continuer avec un auditeur, assurez-vous de vous mettre d'accord sur la logistique de l'audit, y compris le délai dans lequel il sera complété et quand vous pouvez attendre votre auditeur sur place.

« La priorité numéro un pour toute organisation évaluant des cabinets d'audit devrait être d'établir un niveau de confort », dit Rieben. « Savoir avec qui vous allez travailler, quel processus vous suivrez, quels outils vous utiliserez et quel sera le calendrier est très important et devrait être clairement discuté et communiqué dans le cadre du processus d'évaluation. »

8. Essayez de ressentir leur personnalité

Vous ne choisissez pas seulement un auditeur en fonction de ses qualifications sur papier, vous choisissez aussi une personne avec laquelle vous allez travailler pendant quelques semaines à un an ou plus. Assurez-vous que vos personnalités sont compatibles.

Pour ce faire, Ryan recommande de parler directement à la personne avec qui vous allez travailler tout au long de votre engagement. « Passez du temps à parler à la personne avec qui vous allez travailler au quotidien pour vous assurer que vous pouvez supporter de travailler avec elle », dit-il. « Cette étape peut faire la différence entre un engagement difficile ou un engagement excitant. »

Michael O. Bayere, responsable principal chez CAS Assurance, recommande également de demander à un auditeur potentiel comment il gère les clients d'audit difficiles. Cette question permettra d'élucider la personnalité de l'auditeur et comment il pourrait travailler avec vous pour résoudre les problèmes qui surviennent pendant votre engagement.

9. Évaluer leur réputation

Les clients potentiels devraient également évaluer de près la réputation des auditeurs qu'ils envisagent, selon Jeffrey Filler, associé chez Boulay. « Les facteurs à considérer incluent depuis combien de temps l'entreprise est en activité et les résultats des examens par les pairs de l'AICPA ou d'autres évaluations tierces », dit-il.

Vous pouvez également demander à un auditeur des témoignages de clients précédents ou les contacter directement pour mieux comprendre leur réputation.

« Je recommande également d'effectuer une recherche rapide sur le web pour s'assurer que le cabinet d'audit n'est pas lié à quelque chose qui pourrait susciter des inquiétudes, comme une fraude ou de graves violations de données », déclare Ryan.

Questions d'entretien pour auditeurs

Pour vous aider à guider vos entretiens avec les auditeurs et cabinets potentiels, téléchargez notre liste de questions recommandées par de vrais auditeurs. Beaucoup de ces questions sont celles qu'ils entendent lors des appels avec leurs propres prospects et vous aideront à mieux comprendre l'expérience, la personnalité, la réputation et plus encore d'un auditeur.

Cabinets d'audit de confiance

Pour vous aider à démarrer votre recherche d'un auditeur adapté à votre entreprise, nous avons compilé certains des partenaires d'audit pré-approuvés au sein du réseau des partenaires de confiance Secureframe.

360 Advanced

360 Advanced fournit des conseils, des services de conseil et des solutions intégrées personnalisées pour répondre aux besoins de sécurité et de conformité de votre entreprise, que vous mettiez en œuvre un programme de confidentialité et de sécurité pour la première fois ou que vous ayez besoin d'une évaluation par un tiers des contrôles existants.

Aprio

Aprio est un cabinet de CPA et de conseil en gestion complet de premier plan qui conseille les clients et les associés sur la manière de naviguer dans les exigences de conformité, d'accroître la valeur de leur organisation et d'atteindre les prochains objectifs.

Barr Advisory

Barr Advisory aide les fournisseurs de technologies et de services cloud à simplifier le chemin vers la conformité à plusieurs cadres, y compris SOC 2, ISO 27001, HIPAA, HITRUST, PCI, FedRAMP et NIST 800-53.

Boulay

Boulay est un cabinet de CPA et de conseil parmi les 100 meilleurs, basé à Minneapolis, dans le Minnesota, qui fournit des services SOC 2 à des clients aux États-Unis et dans le monde entier.

British Assessment Bureau

British Assessment Bureau offre une gamme de certifications accréditées par UKAS et associées à l'industrie, ainsi que des solutions logicielles ISO, permettant aux entreprises de démontrer leur engagement envers l'excellence.

CAS Assurance, LLC

Les auditeurs de CAS Assurance ont en moyenne plus de 15 ans d'expérience pertinente. L'équipe tire parti de l'expérience, de la technologie et d'un processus éprouvé pour réaliser des missions d'audit, y compris les audits SOC 2 et SOC 2 + CCM, de manière sans stress et apportant de la valeur.

Consilium Labs

Consilium Labs s'associe aux organisations pour rationaliser le processus d'audit ISO 27001 et fournir les approches les plus à jour et innovantes en matière de conformité à la sécurité.

Control Logics

Depuis 2008, l'équipe de Control Logic a réalisé des évaluations de sécurité pour plus de 200 entreprises dans le monde entier, avec des services adaptés aux besoins de chaque client.

Daszkal Bolton

Daszkal Bolton est un cabinet comptable et de conseil de premier plan qui travaille depuis plus de 20 ans avec des organisations dans les domaines de la santé, de la technologie, de la biotechnologie, de la construction, de l'immobilier, de la fabrication, de la distribution et des affaires internationales.

GRSee Consulting

GRSee Consulting est un cabinet international de conseil privé qui fournit des audits PCI, des services de préparation pour SOC 2 et ISO 27001, et d'autres services techniques, y compris les tests de pénétration.

Hancock Askew & Co, LLP

Les auditeurs hautement qualifiés de Hancock Askew ont chacun plus de 15 ans d'expérience. Ils offrent aux clients des rapports SOC de haute qualité livrés dans les 45 jours suivant la fin de la période d'examen.

Insight Assurance

Les auditeurs d'Insight Assurance ont en moyenne plus de 10 ans d'expérience. Avec plus de 200 missions SOC 2 réalisées, leurs experts sont prêts à vous aider à obtenir la conformité SOC 2.

Johanson Group

Spécialisé dans SOC 1, SOC 2, SOC 3, HIPAA et ISO/IEC 27001, Johanson Group déploie des équipes multidisciplinaires composées de CPA agréés et de spécialistes en technologie de l'information et en sécurité pour réaliser une évaluation complète et approfondie des contrôles liés aux services que vous fournissez.

KLR

KLR est un cabinet d'expertise comptable de premier plan qui fournit des services d'assurance, de fiscalité et de conseil aux entreprises privées et publiques à travers les États-Unis et à l'étranger.

Linford & Company LLP

L'équipe expérimentée et réactive de Linford & Co peut aider les clients à décider quel type d'audit ils ont besoin, à respecter tous les délais de rapport et à fournir des conseils et des recommandations pour améliorer les contrôles internes.

MJD Advisors

MJD Advisors est un cabinet de CPA boutique, axé sur la technologie, qui se spécialise dans la fourniture d'examens SOC 2 pour les entreprises technologiques du monde entier.

Moss Adams

Moss Adams est un cabinet de services professionnels entièrement intégré qui aide des centaines d'entreprises à gérer leur risque de conformité et à réaliser des audits SOC 1, SOC 2, SOC 3 et PCI DSS ainsi que des évaluations HIPAA et HITRUST.

Oread Risk

Oread Risks travaille avec les clients pour atteindre plusieurs objectifs de conformité, y compris les audits SOC, les évaluations HIPAA, les évaluations de vulnérabilité réseau, les tests de pénétration, le conseil en PCI, le conseil en ISO 27002, et plus encore.

Prescient Assurance

Prescient Assurance est une société d'audit et de tests de pénétration multi-cadres qui se spécialise dans les entreprises SaaS B2B et les clients d'entreprise. Ils fournissent des services d'audit et de sécurité à plus de 3000 entreprises dans le monde pour SOC 1, SOC 2, SOC 3, ISO 27001, ISO 27701, ISO 9001, PCI, HITRUST, CSA STAR, HIPAA, GDPR, NIST, Google CASA, FEDRAMP, et bien d'autres cadres.

Sensiba San Filippo

Sensiba San Filippo (SSF) fournit des services complets de fiscalité, d'audit et de conseil et combine une empreinte nationale avec une expertise et des relations approfondies dans toute la Silicon Valley pour servir des clients dans les domaines des logiciels, des SaaS, des Big Data, des fintechs, des réseaux, du matériel, de l'énergie, des soins de santé et des sciences de la vie dans le monde entier.

Sentry Assurance

Sentry Assurance est un cabinet de CPA agréé qui fournit des services d'audit sur mesure pour SOC 1 et SOC 2. Son équipe de professionnels de l'audit a des décennies d'expérience combinée dans plusieurs grands cabinets d'audit.

Zeroday

Zeroday propose un processus simplifié pour les services d'attestation informatique et de conformité dans un large éventail de cadres, y compris SOC, ISO, HIPAA, GDPR et CCPA.

Trouvez un cabinet de confiance pour votre audit de sécurité

Secureframe travaille avec un réseau de partenaires auditeurs de confiance pour garantir à nos clients un accès direct à des cabinets d'audit très respectés. Nous vous aiderons à trouver un auditeur expérimenté qui correspond parfaitement à votre entreprise. Demandez une démonstration pour en savoir plus sur les nombreuses façons dont Secureframe simplifie le processus de conformité, de la préparation à l'audit au rapport final.