Bien sûr il y a des différences entre ISAE 3402 et ISO 27001, mais il y a également de nombreux points communs, et c’est d’ailleurs pour cela qu’il est difficile de choisir et de s’y retrouver. Je vous propose dans cet article d’analyser ces standards sous plusieurs prismes, afin de vous éclairer.

Les origines d’ISAE 3402 (International Standard on Assurance Engagements)

Avant de commencer à comparer ISAE 3402 et ISO 27001, il est important de comprendre d’où vient ce standard et ses objectifs.

De la loi américaine Sarbanes Oxley jusqu’à ISAE 3402 en passant par SAS 70 :

ISAE 3402 a pour origine, une loi américaine, la loi Sarbanes Oxley de 2002 (SOX), qui correspond à une législation sur la responsabilité sociétale vis-à-vis du reporting financier. Pour répondre à cet élément de conformité qu’est la loi Sarbanes-Oxley, la norme SAS 70 supplantera SOX de 1992 à 2011. À compter de juin 2011, afin de donner une dimension internationale et pour répondre au besoin des normes indépendantes, la norme américaine SAS 70 évoluera vers ISAE 3402.

Première norme internationale pour les prestataires de services, reconnue et attestée par des auditeurs indépendants, ISAE 3402 met l’accent sur l’existence et l’efficacité d’un dispositif de contrôles internes.

L’évolution majeure entre SAS 70 et ISAE 3402 réside dans l’obligation du Management de l’Organisation (Direction Générale) de produire une lettre d’affirmation attestant de l’évaluation de l’efficacité de ses contrôles internes.
Les objectifs d’ISAE 3402

Afin de répondre aux exigences de transparence du marché international, les organisations se doivent aujourd’hui de prouver qu’elles maîtrisent les risques de leurs activités externalisées, confiées à des prestataires, dont les missions impactent les finances de leurs clients (technologie de l’information, assurance, courtiers, gestion des ressources humaines, etc.)

L’obligation de transparence passe par la mise en place de processus et de procédures, qui permettent de renforcer les contrôles internes. Ce dispositif a pour objectif également d’assurer aux clients un reporting financier fiable, à l’égard des services offerts, pour éviter les erreurs comptables et les fraudes.

Tendre vers ISAE 3402, c’est maîtriser et diminuer les risques en optimisant de façon continue le dispositif des contrôles internes.

L’objectif de l’obtention d’un rapport ISAE 3402 est de fournir aux auditeurs (le plus souvent SOX) l’assurance raisonnable de l’efficience des contrôles internes, mis en place chez ses prestataires, afin d’éviter de les auditer.

De nombreux points communs entre ISAE 3402 et ISO 27001

Les avantages communs d’ISAE 3402 et d’ISO 27001 sont nombreux au regard de l’investissement demandé.

Le point commun pour répondre aux exigences clients sont avant tout la transparence et la confiance.

Outil de gouvernance et de pilotage des risques, de formation et de sensibilisation ces points sont des leviers de management assurés dans chacune des normes.

En mesure de prouver une conformité à des critères reconnus internationalement, elles peuvent ainsi réduire la charge des contrôles des clients et permettre un positionnement concurrentiel avantageux sur des appels d’offres.

Développer les contrôles ISO 27001 et ISAE 3402 simultanément réduisent au minimum le temps, l’effort et les coûts supplémentaires.

Cette homogénéité des contrôles déployée fait alors place à un alignement des mesures de sécurité avec les enjeux métiers.

L’audit ISAE 3402 est un audit approfondi, axé sur l’efficacité du cadre de gestion des risques. Si les risques ne sont pas gérés efficacement, ne sont pas implémentés et ne fonctionnent pas de manière efficace, l’auditeur le notifiera dans son rapport.

ISO 27001, composée de lignes directrices détaillées, alors que l’approche d’ISAE 3402 est fondée sur des principes.

Le cadre de l’ISO 27001 exige une documentation détaillée avec des politiques et des procédures en matière d’IT notamment. Une fois que l’organisation est conforme à la norme ISO 27001, elle est assurée de disposer d’une base solide de principes de sécurité de l’information conçus et mis en œuvre.

La certification ISO 27001 est la preuve de la capacité de l’organisation à maintenir un système de gestion de la sécurité de l’information efficace à un moment donné.

Ce manque d’assurance à long terme a incité de nombreuses organisations à se tourner vers une attestation de contrôle des organisations de services, afin de démontrer leur capacité à maintenir un environnement de contrôle de sécurité informatique efficace.

Le cadre de l’ISO 27001 peut ensuite être utilisé pour s’appuyer sur d’autres exigences réglementaires ou exigences contractuelles, comme ISAE 3402.

Conclusion

Une entreprise certifiée ISO 27001 peut répondre aux exigences d’ISAE 3402 facilement si elle inclut dans son scope les processus métiers liés au reporting financier.

Avoir mis en place ISAE 3402 est un bon tremplin pour vous faire progresser vers les exigences de la norme ISO 27001 et peut constituer un jalon important dans le plan global du projet de certification ISO 27001.

ISO 27001 étant un cadre de « bonnes pratiques » pour l’établissement d’un système de gestion de la sécurité de l’information, c’est un excellent guide pour la mise en œuvre d’un programme de sécurité dans une organisation.

En revanche, la meilleure utilisation de la norme ISAE 3402 est de fournir à une organisation un moyen de démontrer que ces mêmes « bonnes pratiques » de sécurité sont en place et fonctionnent efficacement.

ISO 27001 est la référence de la sécurité de l’information, mais les risques évoluent et les organisations exigent constamment un niveau plus élevé d’assurance, en termes de sécurité de l’information.

Ce niveau de transparence est aujourd’hui attendu dans l’économie mondiale et dans un paysage de menaces permanentes en constante évolution.

Cela permet de penser que d’être ISO 27001 et ISAE 3402 est déterminant pour répondre à ce niveau d’exigence et qu’une organisation peut avoir besoin des deux.

L’un ou l’autre reste d’excellents moyens de faire progresser votre outil d’évaluation et d’amélioration continue de la sécurité de vos systèmes d’information.

Et vous, qu’est-ce qu’il vous faut ?