TechServ Solutions GmbH opère une plateforme de gestion financière pour 280 PME allemandes. Chiffre d'affaires 2024 : 15 M€. Effectif : 85 personnes. Infrastructure : cloud hybride avec serveurs critiques hébergés en Allemagne.

Table des matières

Cadre réglementaire allemand

Position de l'ISAE 3402 dans le droit allemand


L'ISAE 3402 est adoptée en Allemagne à travers l'ordonnance WPO (Wirtschaftsprüferordnung) et les normes professionnelles IDW. Contrairement aux ISA qui sont transposées directement, l'ISAE 3402 s'applique conjointement avec IDW PS 951 "Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen" et IDW PS 980 "Grundsätze ordnungsmäßiger Prüfung der Berichterstattung über Sicherungsmaßnahmen bei Dienstleistungsunternehmen".
La WPK considère que l'ISAE 3402 établit le cadre international, mais que les normes IDW définissent les exigences de qualité et de documentation applicables aux auditeurs allemands. Cette approche bicéphale crée des obligations que les équipes formées uniquement à l'ISAE internationale ne maîtrisent pas.

Obligations de formation et de certification


IDW EPS 951.15 exige que l'associé responsable de la mission démontre une formation spécialisée dans l'audit des prestataires de services. La simple expérience ISA ne suffit pas. La WPK vérifie lors des inspections que l'équipe a suivi une formation IDW agréée ou possède une expérience documentée sur au moins trois missions ISAE 3402 sous supervision d'un expert certifié IDW.
Cette exigence s'étend aux seniors sur la mission. IDW EPS 951.23 précise que toute personne effectuant des tests de contrôles doit comprendre les spécificités des environnements IT complexes et la méthodologie d'évaluation des risques selon les standards allemands.

Exigences WPK spécifiques

Documentation étendue des procédures d'évaluation


WPK Standard 2.1 exige que chaque contrôle testé soit documenté avec trois niveaux d'information : la description du contrôle (niveau ISAE standard), l'évaluation de sa conception selon IDW PS 951.A12, et l'analyse de son efficacité opérationnelle avec références aux tests effectués.
La différence avec l'ISAE standard porte sur le niveau de granularité. Là où ISAE 3402.A89 demande une description "suffisante", WPK Standard 2.1 exige que chaque étape du contrôle soit décrite avec les rôles responsables, les systèmes utilisés, la fréquence d'exécution, et les preuves produites. Un contrôle de réconciliation bancaire ne peut être décrit comme "réconciliation mensuelle effectuée par le responsable financier". Il faut : qui extrait les données (nom de fonction), depuis quels systèmes (nom et version), selon quelle procédure (référence à la politique interne), avec quelles vérifications (liste des points de contrôle), et quelles preuves conservées (format et durée de rétention).

Matrice de traçabilité des objectifs de contrôle


IDW PS 980.31 introduit une exigence absente d'ISAE 3402 : la matrice de traçabilité qui relie chaque objectif de contrôle défini par l'entité utilisatrice aux contrôles spécifiques mis en place par le prestataire de services. Cette matrice doit démontrer que l'ensemble des contrôles couvre intégralement les risques identifiés.
L'auditeur allemand doit construire cette matrice en trois colonnes : objectifs de contrôle exprimés par les entités utilisatrices, contrôles du prestataire qui répondent à ces objectifs, et évaluation de l'adéquation de la couverture. Si un objectif n'est que partiellement couvert, la matrice doit identifier les contrôles complémentaires que l'entité utilisatrice doit mettre en place.

Évaluation des contrôles généraux informatiques


WPK Standard 3.2 établit que l'évaluation des contrôles généraux informatiques (CGIT) doit suivre la méthodologie IT-Grundschutz du BSI (Bundesamt für Sicherheit in der Informationstechnik). Cette référence n'apparaît pas dans ISAE 3402, mais elle est obligatoire pour les missions allemandes.
Concrètement, l'auditeur doit évaluer la sécurité informatique du prestataire selon les modules IT-Grundschutz pertinents : gestion des accès (M 2.9), sauvegarde des données (M 6.33), et continuité d'exploitation (M 6.32). Chaque module contient des exigences de sécurité spécifiques que l'auditeur doit vérifier et documenter.

Normes IDW applicables

IDW PS 951 : Systèmes de management de la conformité


IDW PS 951 s'applique aux missions ISAE 3402 quand le prestataire de services opère dans un secteur réglementé (services financiers, santé, télécommunications). La norme exige l'évaluation du système de management de la conformité en plus des contrôles opérationnels.
IDW PS 951.45 définit six composants obligatoires à évaluer : l'environnement de conformité (tone at the top), l'évaluation des risques de conformité, les activités de contrôle de la conformité, l'information et la communication sur la conformité, le pilotage du système, et la surveillance continue. L'auditeur doit tester l'efficacité de chaque composant et documenter les défaillances constatées.
Cette évaluation produit un rapport séparé du rapport ISAE 3402 standard. IDW PS 951.67 précise que les deux rapports peuvent être combinés si l'entité utilisatrice en fait la demande expresse, mais la section conformité doit être clairement identifiée.

IDW PS 980 : Audit des mesures de sécurisation


IDW PS 980 complète ISAE 3402 sur l'évaluation des mesures techniques et organisationnelles de protection des données. Cette norme devient obligatoire dès qu'un prestataire de services traite des données personnelles pour le compte de ses clients.
IDW PS 980.A15 à A23 détaillent les procédures d'audit spécifiques : tests des mesures de pseudonymisation, vérification des journaux d'accès aux données, évaluation des procédures de notification de violation, et tests de la portabilité des données. Ces tests viennent s'ajouter aux tests de contrôles ISAE 3402 classiques.
La documentation doit suivre le format IDW PS 980 Annexe 2 qui structure les constatations par catégorie RGPD : licéité du traitement, minimisation des données, limitation de la conservation, et sécurité du traitement. Chaque constatation doit être évaluée selon son impact sur la conformité RGPD de l'entité utilisatrice.

IDW EPS 951 : Exigences de qualité


IDW EPS 951 établit les exigences de contrôle qualité spécifiques aux missions ISAE 3402. Ces exigences s'ajoutent à ISQM 1 et concernent trois domaines : la composition de l'équipe, la supervision des travaux, et la revue qualité.
IDW EPS 951.31 exige qu'au moins un membre de l'équipe possède une certification en sécurité informatique (CISSP, CISA, ou équivalent allemand). Cette exigence ne peut être satisfaite par l'expérience seule. L'auditeur doit présenter un certificat valide au moment de l'inspection WPK.
La supervision doit être documentée selon IDW EPS 951.A8 : revue des papiers de travail par l'associé, avec signature électronique et horodatage, commentaires détaillés sur les points complexes, et résolution documentée des points soulevés. Le simple visa des papiers de travail ne suffit pas.

Documentation des contrôles informatiques

Architecture système et cartographie des flux


WPK Standard 4.1 exige une cartographie complète de l'infrastructure informatique du prestataire avec identification des systèmes critiques, des interfaces entre systèmes, et des flux de données sensibles. Cette cartographie dépasse les exigences ISAE 3402.A94 qui se contentent d'une "compréhension suffisante" de l'environnement IT.
L'auditeur doit produire un schéma technique montrant : les serveurs d'application et leurs versions, les bases de données et leur configuration, les middlewares et leurs paramètres de sécurité, les connexions réseau et leurs protocoles de chiffrement, et les points d'accès externes avec leurs mécanismes d'authentification.
Cette documentation sert de référence pour l'évaluation des contrôles généraux informatiques et doit être mise à jour à chaque mission si des modifications significatives sont intervenues dans l'architecture.

Tests des contrôles d'accès automatisés


IDW PS 980.A18 précise que les contrôles d'accès automatisés doivent être testés par extraction directe des logs système, pas seulement par observation ou re-performance. L'auditeur doit obtenir un export complet des journaux d'accès pour la période testée et analyser les données avec des outils informatiques.
La méthodologie recommandée utilise des requêtes SQL pour identifier : les connexions en dehors des heures ouvrables, les tentatives de connexion échouées répétées, les accès privilégiés non autorisés, et les modifications de droits d'accès non approuvées. Chaque anomalie détectée doit être investiguée et documentée.
WPK Standard 4.3 exige que l'auditeur conserve les fichiers de logs analysés comme preuves d'audit. Ces fichiers doivent être horodatés et protégés par une fonction de hachage pour garantir leur intégrité.

Procédures de sauvegarde et de récupération


L'évaluation des sauvegardes selon IDW PS 980.A21 comprend trois phases : test de la procédure de sauvegarde (la sauvegarde s'exécute-t-elle comme prévue), test de l'intégrité des données sauvegardées (les fichiers peuvent-ils être lus), et test de la procédure de restauration (les données peuvent-elles être récupérées dans un délai acceptable).
Le test de restauration doit être effectué sur un échantillon représentatif de données critiques. IDW PS 980.A22 recommande de sélectionner au moins 5 % des sauvegardes réalisées pendant la période testée et de vérifier leur restaurabilité sur un environnement de test isolé.
La documentation doit inclure : les résultats de chaque test de restauration avec temps de récupération mesuré, l'évaluation de la conformité aux objectifs RTO (Recovery Time Objective) et RPO (Recovery Point Objective) définis par le prestataire, et l'analyse des écarts constatés avec recommandations d'amélioration.

Exemple pratique

TechServ Solutions GmbH opère une plateforme de gestion financière pour 280 PME allemandes. Chiffre d'affaires 2024 : 15 M€. Effectif : 85 personnes. Infrastructure : cloud hybride avec serveurs critiques hébergés en Allemagne.

Phase 1 : Évaluation préliminaire selon WPK Standard 2.1


L'auditeur identifie 47 contrôles applicables répartis en cinq domaines : accès utilisateurs (12 contrôles), traitement des transactions (18 contrôles), contrôles généraux informatiques (8 contrôles), sécurité des données (6 contrôles), et continuité d'exploitation (3 contrôles).
Documentation : Matrice de contrôles avec références croisées aux politiques internes de TechServ et aux exigences réglementaires applicables (BaFin, RGPD).

Phase 2 : Construction de la matrice de traçabilité IDW PS 980.31


L'équipe mappe les 47 contrôles aux 23 objectifs de contrôle exprimés par les entités utilisatrices. Constats : 3 objectifs partiellement couverts (authentification multi-facteurs optionnelle, chiffrement des données au repos limité aux données bancaires, journalisation des accès admin incomplète).
Documentation : Matrice Excel avec statut de couverture par objectif (complet/partiel/absent) et identification des contrôles complémentaires nécessaires chez les entités utilisatrices.

Phase 3 : Évaluation CGIT selon IT-Grundschutz BSI


L'auditeur applique les modules BSI pertinents : M 2.9 (gestion des accès) révèle des mots de passe par défaut sur 2 comptes de service, M 6.33 (sauvegardes) identifie des tests de restauration incomplets (derniers tests : 8 mois), M 6.32 (continuité) confirme un plan de reprise d'activité testé annuellement avec RTO de 4 heures.
Documentation : Rapport BSI avec évaluation de conformité par module (conforme/partiellement conforme/non conforme) et plan d'actions correctives avec échéances.

Phase 4 : Tests de contrôles selon IDW EPS 951


Tests sur 6 mois (janvier-juin 2024). Échantillon : 25 contrôles testés mensuellement, 15 contrôles testés trimestriellement, 7 contrôles testés une fois. Méthode : inspection (40 %), observation (25 %), re-performance (20 %), analyse informatique (15 %).
Documentation : Papiers de travail détaillés avec références aux preuves collectées, évaluation de l'efficacité par contrôle, et synthèse des défaillances constatées.

Phase 5 : Conclusion et rapport


Rapport ISAE 3402 Type II avec opinion non modifiée. Trois exceptions reportées : gestion des mots de passe par défaut, tests de restauration incomplets, et journalisation des accès admin. Plan d'actions correctives accepté par TechServ avec échéance décembre 2024.
Documentation : Rapport final de 45 pages avec annexes techniques (cartographie système, matrices de contrôles, résultats des tests BSI).

Liste de contrôle

Utilisez cette liste sur votre prochaine mission ISAE 3402 en Allemagne :
L'exigence la plus critique : la matrice de traçabilité IDW PS 980.31 qui n'existe dans aucune autre juridiction et que 80 % des équipes oublient de produire.

  • Formation de l'équipe : Vérifiez que l'associé et les seniors ont suivi une formation IDW agréée ou possèdent une expérience documentée sur 3 missions similaires (IDW EPS 951.15).
  • Cartographie système : Produisez un schéma technique complet avec serveurs, bases de données, middlewares, connexions réseau et points d'accès externes (WPK Standard 4.1).
  • Matrice de traçabilité : Construisez la matrice reliant objectifs de contrôle des entités utilisatrices aux contrôles du prestataire avec évaluation de la couverture (IDW PS 980.31).
  • Évaluation BSI : Appliquez les modules IT-Grundschutz pertinents pour l'évaluation des contrôles généraux informatiques (WPK Standard 3.2).
  • Tests de restauration : Testez la restaurabilité d'au moins 5 % des sauvegardes sur un environnement isolé avec mesure des temps de récupération (IDW PS 980.A22).
  • Documentation qualité : Respectez les exigences de supervision avec revue détaillée et signature électronique horodatée de tous les papiers de travail (IDW EPS 951.A8).

Erreurs fréquentes

  • Documentation insuffisante des contrôles : Décrire les contrôles au niveau ISAE standard sans le détail exigé par WPK Standard 2.1. La WPK vérifie systématiquement la granularité de la documentation lors des inspections.
  • Évaluation CGIT incomplète : Évaluer les contrôles informatiques sans référence aux modules IT-Grundschutz BSI. Cette omission représente une non-conformité aux standards allemands même si l'évaluation ISAE est correcte.
  • Matrice de traçabilité manquante : Omettre la construction de la matrice IDW PS 980.31 reliant objectifs de contrôle et contrôles mis en place. Cette matrice est obligatoire et son absence invalide la mission selon les standards allemands.
  • Certification IT absente de l'équipe : Selon IDW EPS 951.31, au moins un membre de l'équipe doit détenir une certification en sécurité informatique (CISSP, CISA ou équivalent). Un cabinet ayant mené une mission ISAE 3402 sur un prestataire d'hébergement sans expert certifié s'est vu retirer la mission lors d'une inspection WPK, car l'exigence de compétence technique n'était pas satisfaite.

Contenus liés

  • Glossaire ISAE 3402 - Définitions des termes techniques et références normatives pour les missions d'assurance sur les contrôles
  • Outil d'évaluation des risques ISAE 3402 - Calculateur automatique des seuils de matérialité et matrices de risques pour prestataires de services
  • Guide ISA 315 révisée : évaluation des risques - Application des nouvelles exigences d'identification des risques en environnement informatique complexe

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.