Speaker #0Hey, mon coma breaker préféré, comment ça va ? J'ai une question pour toi. Si je t'annonce demain qu'un auditeur va certifier ton entreprise, sans jamais venir chez toi, sans voir tes bureaux, sans toucher un seul serveur, sans franchir la porte du datacenter, est-ce que tu lui fais confiance ? Parce que c'est exactement la question qui se cache derrière la nouvelle version de l'ISO 19011:2026, et tu risques d'être surpris par la réponse. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance, de cyber et d'ISO 27001, mais sans t'endormir. Je suis Fabrice De Paepe et aujourd'hui je t'explique la grande révolution de la mise à jour de l'ISO 1911:2026. N'oublie pas de liker, partager et discuter de cela avec un collègue CISO ou RSSI, ton lead implementer préféré ou ton auditeur interne. J'ai maintenant trois types d'auditeurs dans mon vocabulaire. Les auditeurs du podcast, occasionnels. qui n'en font pas encore leur came, les coma breakers, d'ailleurs merci de me suivre, vous êtes quand même pas moins de 130 maintenant à écouter tous les épisodes, merci pour ça, et les auditeurs de certification. Le monde a changé. Quand la version précédente de l'ISO 1911 est sortie en 2018, le télétravail existait. Le cloud existait. Le cloud, comme on dit. Pas encore Cloud AI. Les SAAS existaient. Mais soyons honnêtes. L'audite restait encore très physique. L'auditeur prenait sa voiture, ou le train, ou son avion. Certains se sont même faits des miles sur ton dos. Ils débarquaient dans les bureaux. D'ailleurs, moi, ça me rappelle une société dans l'aviation, il y a 15 ans de ça, qui était fière de me montrer ses armoires remplies de fardes avec toutes les autorisations d'accès Internet depuis l'an 2000, validées, bien sûr, par le CIO. Là, pas de remote auditing, c'est clair. Mais l'auditeur de l'époque regardait les armoires, comme moi, mais aussi les badges, les extincteurs, les procédures imprimées, et parfois même la cafetière. Ça dépend de ton scope, ça. Elle est surprise rouge ? Non, pourquoi ? Ben, en cas d'incident IT, on va avoir besoin de café. LOL. IT joke, que veux-tu ? On se refait pas. Puis est arrivé le Covid, et d'un coup, plus personne ne pouvait se déplacer. Les bureaux de certification ont alors autorisé les audits à distance, dans certains cas, avec certaines précautions. T'imagines ? T'as rien demandé, t'es certifié, et tu perds ta certif à cause d'un lockdown. Pas très bon pour l'économie tout ça. L'ISO est alors sorti en quelque sorte de sa neutralité et de sa réserve, et a autorisé certains passe-droits, mais non sans précaution. Puis, fort heureusement, les déplacements ont été étendus, et je me rappelle que je devais me déplacer à Paris. Et donc au départ de la Belgique, pas de check, un masque par contre. Et arrivé en France, un chèque de QR code sur ton smartphone par la police. pour voir si tu avais l'autorisation de te déplacer. Un peu tard, après 300 km. Et le QR code qui prouvait que tu avais fait un test PCR. Mais si, rappelle-toi, le très long coton tige dans le nez. Et là, interpellant mais ça m'a fait rire, le policier qui ne vérifie ni ton identité, ni ne touche ton smartphone, ni l'application. C'était même pas du one factor. Parfois ça FAIL, en live aussi, les audits. Pas qu'en remote. À ce moment-là, certains bureaux de certification de personnes ont autorisé le remote proctoring. Ah, la souplesse de programmer, passer et réussir un examen le samedi soir à 23h. Ou le dimanche. Pour être certain que toute la maison dorme et que personne ne viendra ouvrir la porte ou crier « Papa ! » ou « Maman ! » Choisis ton Teams. Tiens, en parlant de Teams. Et ça me fait songer au jour où l'auditeur a découvert le Teams. Je me souviens encore de certains audits, des auditeurs qui demandaient « Pouvez-vous partager votre écran ? » Pouvez-vous zoomer ? Oui. Encore un peu ? Oui. Je ne vois rien. On a tous vécu ça. Pourtant, les audits ont continué. Les certifications ont continué. Non, non, rien n'a changé. Les entreprises ont continué à être certifiées et personne n'a vu l'apocalypse arriver. Mais ce que change réellement, ISO 19011:2026 donc, la nouveauté n'est pas « vous pouvez faire des audits à distance » , car on le faisait déjà, la nouveauté est Comment savoir si un audit à distance est suffisamment fiable ? Et ça, c'est une excellente question, parce que tout n'est pas auditable de la même façon. Auditer une politique de sécurité ? Ok, facile. Auditer un Active Directory ? Facile. Auditer des logs ? Ok, facile. Auditer Microsoft 365 ? Facile. Mais auditer un contrôle d'accès physique ? Une salle serveur ? Un data center ? Une ligne de production ? Une application SaaS ? C'est déjà autre chose. Et là, arrive probablement la notion la plus intéressante, le concept de virtual location, un lieu qui n'existe pas physiquement. Je t'ai perdu ? Ça paraît absurde, je sais, mais réfléchis. Où se trouve ton tenant Microsoft 365 ? Où se trouve ton environnement AWS ? Où se trouve ton SaaS et ton SOC ? Où se trouve ton équipe quand elle travaille depuis 14 pays différents ? La réponse est souvent nulle part, ailleurs. Et partout à la fois. Et ton programme d'audit, d'ailleurs, il va évoluer aussi. D'ailleurs, ça me rappelle que je vais ajuster les miens. T'as vu ? Je me mets une OFI à moi tout seul. Une opportunity for improvement. Mais ça ne s'arrêtera donc jamais ? Non, Sisyphe. À moins que tu ne trouves quelqu'un pour te remplacer. Si tu me découvres ici, eh bien j'ai l'épisode 9 pour toi, qui parle de Sisyphe justement. Pourquoi ton SMSI ressemble à Sisyphe et comment ne pas lâcher la pierre. Mais... Revenons à la 19011, version 2026. C'est quoi l'impact finalement sur l'audit à distance ? Ça devrait être beaucoup plus structuré. C'est plus juste une option pratique, c'est une méthode d'audit à planifier, justifier et maîtriser. Les lieux virtuels, un site peut être un environnement virtuel, très important pour SaaS, ou cloud, ou télétravail, ou SOC, ou l'infogérance, donc tes services managés. Ton programme d'audit ? Il faut mieux justifier les méthodes utilisées, on-site, remote ou hybride. Et le risque lié à la méthode d'audit, tu vas avoir le choix du remote. Et dans le remote, tu dois tenir compte de la capacité à atteindre les objectifs d'audit. Ensuite, la compétence des auditeurs. Il va y avoir beaucoup plus d'attention aux compétences ICT, les outils digitaux, sécurité, confidentialité de l'information autour de ces outils-là. Et le scope de l'audit, il inclut explicitement les lieux physiques et virtuels. Et finalement, in fine, la sécurité de l'info sera plus présente dans la gestion du programme d'audit, donc confidentialité renforcée, protection des preuves, et en fonction de tout ça, des plateformes utilisées. Et par exemple, pour les audits internes ISO 27001, le vrai changement pratique est ici. On ne peut plus traiter l'audit remote comme une simple commodité. Il faut démontrer que la méthode choisie permet bien d'obtenir des preuves. suffisante et fiable. Donc, dans les programmes d'audit interne, je mettrai une colonne méthode d'audit on-site, slash remote, slash hybride, avec chaque fois justification. Je te prends trois exemples. Disons qu'on a le processus gestion des accès. La méthode, on va dire remote. Justification, les preuves sont disponibles dans IAM, donc ton outil d'identité et d'accès management préféré, dans des tickets et dans des logs. Ensuite, deuxième exemple, sécurité physique du data center. La méthode peut être on-site ou hybride. On-site, visite du data center, hybride, c'est vrai que tu as besoin d'observation directe, ou alors tu accentues la revue fournisseur. Continuité SAAS, donc Software as a Service, méthode hybride. Tu vas faire des interviews en remote, plus des preuves techniques, plus des tests PRA, donc plan de reprise d'activité. Mais attends, cette partie-là est déjà disponible dans ISO 27006 et ISO 27007, oui ? Et c'est précisément pour ça que je pense que l'impact réel de 19011:2026 est beaucoup plus limité que certains articles LinkedIn le laisseraient entendre. D'ailleurs, ISO 27006 disait déjà implicitement cela. Pour les organisations certificateurs, ISO 27001, la réflexion était sur sites ou à distance, quelles activités sont auditables à distance, quelles activités nécessitent une présence physique, quelles preuves sont acceptables. Tout cela existait déjà depuis. depuis longtemps dans la pratique et dans les documents d'accréditation. Un auditeur de certification ne va pas auditer un datacenter uniquement par Teams, parce que la 19011:2026 est sortie. Ouf, nous sommes sauvés. N'y comptez d'ailleurs tous les câbles du datacenter 1-1-1, d'ailleurs en remote par Teams. Et ISO 27007 allait également déjà dans cette direction. ISO 27007 insistait, et insiste encore d'ailleurs, sur l'approche basée sur le risque, la sélection des méthodes d'audit, l'adéquation entre les objectifs. et les preuves recherchées et l'échantillonnage. Et donc, l'idée processus IAM, méthode remote, ou processus physical security, méthode on-site, ou le processus PRA, plan de reprise d'activité, et la méthode hybride, ce n'est pas révolutionnaire pour quelqu'un qui applique correctement ISO 27007. Mais là où 19011:2026 apporte quelque chose, la vraie nouveauté, c'est qu'elle généralise cela à tous les systèmes de management. Avant, on avait 27006, on parlait surtout aux certificateurs ISO 27001. On avait 27007, on parlait surtout aux auditeurs SMSI. Maintenant, je peux te parler de 9001, 14001, 45001, 22301, 37001, 37301, 42001. Ouf, tous dans la sauce. Expression camerounaise. D'ailleurs, bien avant que la France ne se l'approprie. Donc, toutes ces normes ont à présent une référence commune, plus mature, sur le remote audit, les virtual locations et les méthodes hybrides. Mais alors, pourquoi ça concerne les RSSI et les CISO ? Eh bien... Parce que pendant des années, les audits ISO 27001 ont été conçus pour des entreprises avec un bâtiment, un serveur, des employés, une salle informatique. Et si l'ISC Square fait évoluer sa certification ou ses certifications CISSP et CCSP, l'ISO suit également. Aujourd'hui, tu peux avoir 0 serveur, 0 bureau, 100% cloud, 100% télétravail. Ah, comment tu audites ça ? Et pourtant, tu vas devoir démontrer la même maîtrise. C'est exactement ce que la nouvelle ISO 19011 essaye de prendre en compte. D'ailleurs, j'ai une petite pensée pour tous les bureaux de certification de personnes. Et le vrai risque, en fait, le vrai risque, c'est pas l'audit à distance. Le vrai risque, c'est de croire qu'une caméra remplace l'esprit critique. Parce qu'un audit reste un audit, que tu sois dans une salle de réunion ou derrière Teams, le métier consiste toujours à comprendre, questionner, regrouper, challenger et vérifier. Donc, conclusion. ISO 19011:2026 ne révolutionnera pas l'audit. Elle reconnaît simplement quelque chose que nous savons déjà. Le travail n'est plus forcément réalisé dans un bâtiment. Et l'audit doit suivre cette réalité et l'auditeur acquérir officiellement, dans ce cas-là, cette nouvelle compétence. Donc, dans les faits, c'est déjà le cas. Mais maintenant, c'est décrit. L'auditeur du futur ne passera peut-être plus sa vie dans les avions. À Houston, we have a problem. Je suis en train de perdre mes miles, de frequent traveler. et mon statut d'ambassadeur ou de sénateur également, par la même occasion. Mais l'auditeur devrait être capable de comprendre les systèmes cloud, les environnements SaaS, les preuves numériques. Je ne te parle pas d'IA, mais on pourrait l'inclure. Auditer l'IA en présentiel n'a pas de sens, à moins que tu aies ton propre IA avec ton LLM qui tourne dedans dans un data center. Mais donc, est-ce que 19011:2026 est une révolution ? Eh bien, pas vraiment. mais je suis certain que tu vas avoir plein de posts LinkedIn sur le changement qu'apporte cette norme. Et un des miens aussi d'ailleurs, parce que je vais évidemment le faire pointer vers mon podcast. Donc LinkedIn va s'emballer comme toujours, les vendeurs de formations annoncent peut-être déjà une révolution. Mais quand on lit la norme, les deux changements officiellement annoncés sont surtout l'intégration d'ISO IECTS 17012 et l'extension de l'annexe sur les audits à distance et les lieux virtuels. Si tu es déjà un bon auditeur ISO 27, qui applique ISO 27007 et qui connaît ISO 27006, tu fais probablement déjà 80%, voire plus, de ce que la 19011:2026 formalise aujourd'hui. Mais si tu es un cab de personne pour le coup, c'est-à-dire un bureau de certification, là, on rentre dans le dur. Très peu comprennent ce que je vais dire ici, au pays des autos et fake certification en tout genre, mais tous les cours de type Lead Auditor vont devoir modifier probablement, attention, spoiler, une ou deux questions d'examen concernant les nouveaux types d'audit. Pas de quoi te faire suivre 4 jours de cours supplémentaires, je te rassure, mais juste l'un ou l'autre, ou l'une ou l'autre question sur 80 ou sur 150 liées à l'évolution de la norme. Et pour les organisations qui existent désormais autant dans le virtuel que dans le réel, ça c'est probablement un défi bien plus grand que d'apprendre à utiliser Teams ou partager le mauvais écran face à l'auditeur. Et pendant que LinkedIn s'extasie sur la révolution de l'ISO 19011, Je te rappelle une réalité, coma breaker. Le concept de virtual location n'a rien de nouveau. Les organismes de certification, l'IAF, les audits cloud, Microsoft 365 et compagnie, AWS, ou encore les audits à distance pratiqués depuis le Covid, travaillent déjà avec cette notion depuis des années. Ce que je veux dire par là, c'est que quand un auditeur examine un tenant Microsoft 365, un SOC distribué, une plateforme SaaS, opérée depuis plusieurs pays, Ils auditent déjà un environnement qui n'existe pas dans un bâtiment unique. Ce que fait réellement ISO 19011:2026, ce n'est pas inventer les lieux virtuels, mais reconnaître officiellement une transformation du métier d'auditeur qui a commencé bien avant elle. Aujourd'hui, un site peut être un data center, un cloud, une plateforme SaaS ou une équipe en télétravail répartie sur plusieurs continents. La norme ne crée pas cette réalité, elle la rattrape. Si cet épisode t'a plu, n'hésite pas à le partager autour de toi, c'est encore le meilleur moyen de faire grandir un compliance without comma et de rester éveillé. pense également à t'abonner au podcast pour ne manquer aucun épisode et pour prolonger la discussion on peut se retrouver sur Insta, sur TikTok, Youtube, LinkedIn c'est tout simplement compliance without coma pour les coulisses du podcast il y a également des shorts, des reels, des punchlines des guests en vidéo, mes pauses cigarette ah zut, je fume pas des micro-trottoirs dans les différents événements auxquels je participe et j'espère bientôt encore d'autres surprises je te dis à vendredi prochain déjà pour un nouvel épisode de Compliance Without Coma d'ici là, prends soin de toi Coma Breaker
