Ce que vous allez apprendre

  • Comment évaluer les contrôles NIS2 dans le cadre de votre compréhension de l'entité selon ISA 315
  • Quand les défaillances de cybersécurité constituent des anomalies significatives selon ISA 320
  • Comment adapter vos procédures de contrôles informatiques généraux pour couvrir les exigences NIS2
  • Quelle documentation ISA 230 conserver pour les contrôles liés à la directive

Table des matières

Périmètre NIS2 et implications d'audit

La directive NIS2 remplace la directive NIS de 2016 et élargit considérablement le périmètre des entités concernées. L'ISA 315.A95 exige que l'auditeur comprenne l'environnement informatique de l'entité, y compris les contrôles généraux informatiques. Quand votre client entre dans le périmètre NIS2, cette compréhension doit intégrer un niveau de granularité supplémentaire.

Entités concernées et seuils


Les entités essentielles incluent l'énergie, les transports, les services bancaires, les marchés financiers, la santé, l'eau potable, les eaux usées, l'infrastructure numérique, l'administration publique et l'espace. Les entités importantes couvrent les services postaux et de courrier, la gestion des déchets, la fabrication de produits chimiques, la production alimentaire, les plateformes de commerce électronique et les fournisseurs de services numériques.
Pour la plupart, le seuil de qualification est de 50 salariés et 10 millions d'euros de chiffre d'affaires ou 10 millions d'euros de bilan. Ces seuils correspondent exactement aux critères de révision légale dans plusieurs États membres. Votre portefeuille contient probablement des clients NIS2 sans que vous le sachiez.

Impact sur l'approche d'audit


L'ISA 315.21 exige d'identifier et d'évaluer les risques d'anomalies significatives au niveau des états financiers et des assertions. Une cyberattaque réussie contre un client NIS2 peut produire des arrêts d'activité, des amendes réglementaires, des coûts de remédiation et des pertes de revenus. Le paragraphe ISA 315.A130 précise que l'auditeur doit considérer l'impact potentiel sur les états financiers.
Le non-respect de NIS2 expose les entités à des amendes administratives allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % du chiffre d'affaires pour les entités importantes. Ces montants dépassent souvent le seuil de matérialité globale. Une évaluation inadéquate des provisions pour amendes sous IAS 37 devient un risque d'anomalie significative.

Évaluation des contrôles informatiques sous NIS2

L'ISA 315.26 oblige l'auditeur à obtenir une compréhension des contrôles informatiques pertinents pour l'audit. Sous NIS2, cette compréhension s'étend aux 18 catégories de mesures de sécurité définies par l'article 21 de la directive.

Contrôles généraux informatiques étendus


Vos procédures habituelles de contrôles généraux informatiques couvrent généralement les accès, les modifications de programmes, le développement et la continuité d'activité. NIS2 ajoute des exigences spécifiques sur la gestion des vulnérabilités, la segmentation réseau, le chiffrement et la gestion des incidents.
L'annexe I de NIS2 détaille les mesures minimales. Pour les contrôles d'accès, elle exige l'authentification multifacteur, la gestion des comptes privilégiés et la révision périodique des droits. Pour la continuité d'activité, elle exige des tests réguliers de restauration, des sites de sauvegarde géographiquement distincts et des plans de communication de crise.

Intégration dans l'évaluation des risques


Selon ISA 330.8, quand l'auditeur planifie de s'appuyer sur les contrôles, il doit tester leur efficacité opérationnelle. Pour un client NIS2, cela signifie tester non seulement les contrôles financiers habituels, mais aussi les contrôles de cybersécurité qui supportent l'intégrité des données financières.
Un contrôle de sauvegarde défaillant n'affecte pas directement les comptes annuels. Mais si une cyberattaque corrompt les données comptables et que les sauvegardes ne permettent pas la restauration, l'impact financier est immédiat. L'ISA 330.A24 autorise l'auditeur à tester des contrôles compensatoires quand les contrôles primaires présentent des défaillances.

Documentation requise


L'ISA 230.8 exige de documenter les réponses aux risques identifiés. Pour un client NIS2, cette documentation doit inclure votre évaluation de la conformité aux mesures de sécurité, l'impact potentiel des défaillances identifiées et les procédures d'audit supplémentaires mises en place.
Le règlement d'exécution attendu de la Commission européenne précisera les critères de certification et d'audit. En attendant, documentez vos procédures avec suffisamment de détail pour qu'un réviseur comprenne votre raisonnement et vos conclusions.

Exemple pratique : Audit d'une entreprise de transport

Contexte : Rousseau Transport S.A.S., entreprise de transport routier de marchandises basée à Lyon, emploie 120 salariés et réalise 25 millions d'euros de chiffre d'affaires. Elle entre dans le périmètre NIS2 comme entité essentielle du secteur des transports.
Étape 1 . Identifier les systèmes critiques
Rousseau utilise un système de gestion des flottes (TMS) connecté à des boîtiers télématiques sur 80 véhicules. Le système comptable (SAP Business One) échange des données avec le TMS pour la facturation automatique. Une défaillance du TMS arrête 70 % de l'activité en moins de 4 heures.
Note de documentation : Cartographier les flux de données entre TMS, télématique et comptabilité. Identifier les contrôles automatisés dépendants de ces systèmes.
Étape 2 . Évaluer les contrôles NIS2 existants
Le TMS utilise des mots de passe simples pour tous les chauffeurs. Pas d'authentification multifacteur. Les sauvegardes sont quotidiennes mais jamais testées. La segmentation réseau sépare les systèmes comptables du TMS, mais pas les boîtiers télématiques.
Note de documentation : Défaillances identifiées dans les catégories NIS2 : authentification (art. 21.2.a), gestion des vulnérabilités (art. 21.2.d) et tests de continuité (art. 21.2.g).
Étape 3 . Évaluer l'impact sur l'audit financier
Une cyberattaque contre le TMS pourrait corrompre les données de kilométrage et de consommation utilisées pour le calcul automatique des marges par contrat client. Ces calculs supportent l'évaluation des provisions pour perte à terminaison sous IAS 11. La matérialité globale est de 375 000 euros. L'impact potentiel d'une corruption de données dépasse ce seuil.
Note de documentation : Risque d'anomalie significative identifié sur les contrats à long terme. Procédures d'audit supplémentaires requises sur l'intégrité des données TMS.
Étape 4 . Adapter les procédures d'audit
Test des contrôles compensatoires : réconciliation manuelle mensuelle entre TMS et comptabilité par le contrôleur de gestion. Test de détail sur un échantillon de 15 contrats : retracer les données de kilométrage depuis les rapports chauffeur vers le TMS puis vers la facturation.
Note de documentation : Contrôles compensatoires efficaces identifiés. Étendue des tests de détail augmentée de 15 % par rapport à l'approche standard.
Conclusion : Malgré les défaillances NIS2, les contrôles compensatoires permettent une opinion non modifiée. Recommandation client : mise en conformité NIS2 avant octobre 2024 pour éviter les risques d'amendes et d'arrêts d'activité.

Liste de contrôle pratique

  • Identifier le statut NIS2 du client : Vérifier le secteur d'activité selon l'annexe I ou II de la directive, confirmer les seuils de salariés et de chiffre d'affaires, documenter la classification (entité essentielle ou importante).
  • Cartographier les systèmes critiques : Identifier les systèmes informatiques qui supportent les processus métier critiques, tracer les flux de données entre ces systèmes et la comptabilité, évaluer l'impact d'une défaillance sur la continuité d'activité selon ISA 315.A130.
  • Tester les contrôles cybersécurité pertinents : Authentification des utilisateurs privilégiés sur les systèmes financiers, tests de restauration des sauvegardes comptables, segmentation réseau entre systèmes opérationnels et financiers, gestion des correctifs de sécurité selon ISA 330.A24.
  • Évaluer l'impact financier potentiel : Calculer le coût d'un arrêt d'activité de 24h, 72h et une semaine, estimer les amendes potentielles sous NIS2 selon IAS 37.12, comparer ces montants à la matérialité globale selon ISA 320.
  • Documenter les conclusions et recommandations : État de conformité aux 18 catégories NIS2, risques d'anomalies significatives identifiés, procédures d'audit supplémentaires mises en place, recommandations de mise en conformité selon ISA 230.8.
  • Le point le plus déterminant : Une défaillance de cybersécurité chez un client NIS2 n'est pas qu'un risque opérationnel. C'est un risque d'audit qui affecte directement votre évaluation des contrôles internes et votre approche de matérialité.

Erreurs courantes

  • Traiter NIS2 comme un sujet purement technique : Les obligations de cybersécurité ont des implications comptables directes. Les provisions pour amendes, les coûts de remédiation et les pertes d'activité entrent dans le périmètre d'audit.
  • Négliger les contrôles compensatoires : Quand les contrôles informatiques généraux présentent des faiblesses, chercher des contrôles manuels ou automatisés qui limitent l'impact sur l'intégrité des données financières.

Contenu connexe

  • Glossaire ISA 315 : Comprendre l'évaluation des risques d'anomalies significatives dans l'environnement informatique
  • Calculateur de matérialité : Estimer l'impact financier des amendes NIS2 sur votre seuil de matérialité globale
  • [Article connexe] Contrôles informatiques généraux : Guide d'audit pour les PME : Comment adapter vos procédures de contrôles IT quand les ressources client sont limitées

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.