Ce que vous allez apprendre

- Comment évaluer les contrôles NIS2 dans le cadre de votre compréhension de l'entité selon ISA 315 - Quand les défaillances de cybersécurité constituent des anomalies significatives selon ISA 320 - Comment adapter vos procédures de contrôles informatiques généraux pour couvrir les exigences NIS2 - Quelle documentation ISA 230 conserver pour les contrôles liés à la directive

Table des matières

1. Périmètre NIS2 et implications d'audit 2. Évaluation des contrôles informatiques sous NIS2 3. Exemple pratique : audit d'une entreprise de transport 4. Liste de contrôle pratique 5. Erreurs courantes 6. Contenu connexe

Périmètre NIS2 et implications d'audit

Voici l'échec récurrent. Le CAC reçoit une attestation de conformité NIS2 signée par le RSSI, la classe en annexes du dossier permanent, et passe à autre chose. Six mois plus tard, le client subit un incident, l'attestation ne tient pas, et la H2A demande pourquoi le commissaire aux comptes n'a rien testé.

Ce que la norme dit : l'ISA 315.A95 exige que l'auditeur comprenne l'environnement informatique de l'entité, y compris les contrôles généraux informatiques. L'ISA 315.26 oblige à obtenir une compréhension des contrôles informatiques pertinents pour l'audit. Ce qui se passe réellement : la compréhension s'arrête au schéma SI fourni par le client, et le RSSI signe ce que personne ne va contrôler.

La directive NIS2 remplace la directive NIS de 2016 et élargit considérablement le périmètre des entités concernées. Quand votre client entre dans le périmètre, votre compréhension doit intégrer un niveau de granularité supplémentaire. Pas par zèle. Parce que la défaillance est désormais documentée par un texte de droit communautaire que la H2A finira par citer.

Entités concernées et seuils

Les entités essentielles incluent l'énergie, les transports, les services bancaires, les marchés financiers, la santé, l'eau potable, les eaux usées, l'infrastructure numérique, l'administration publique et l'espace. Les entités importantes couvrent les services postaux et de courrier, la gestion des déchets, la fabrication de produits chimiques, la production alimentaire, les plateformes de commerce électronique et les fournisseurs de services numériques.

Chez nos clients, le seuil de qualification est de 50 salariés et 10 millions d'euros de chiffre d'affaires (ou 10 millions d'euros de bilan). Ces seuils correspondent exactement aux critères de révision légale dans plusieurs États membres. Votre portefeuille contient probablement des clients NIS2 sans que vous le sachiez.

Impact sur l'approche d'audit

L'ISA 315.21 exige d'identifier et d'évaluer les risques d'anomalies significatives au niveau des états financiers et des assertions. Une cyberattaque réussie contre un client NIS2 peut produire des arrêts d'activité, des amendes réglementaires, des coûts de remédiation et des pertes de revenus. Le paragraphe ISA 315.A130 précise que l'auditeur doit considérer l'impact potentiel sur les états financiers.

Le non-respect de NIS2 expose les entités à des amendes administratives allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, et 7 millions d'euros ou 1,4 % du chiffre d'affaires pour les entités importantes. Ces montants dépassent souvent le seuil de matérialité globale. Une évaluation inadéquate des provisions pour amendes sous IAS 37 devient un risque d'anomalie significative.

L'alarme est légitime : la H2A a déjà signalé dans ses rapports d'inspection que les diligences sur l'environnement informatique étaient insuffisantes dans un nombre élevé de dossiers EIP, et l'ANSSI publie chaque année un panorama de la cybermenace qui ne va pas dans le sens d'une accalmie. Un confrère qui clôture sans avoir testé un seul contrôle NIS2 sur un client essentiel signe un dossier que personne ne défendra utilement en revue.

Évaluation des contrôles informatiques sous NIS2

Voici la zone grise. Le RSSI vous présente sa matrice NIS2 et vous demande de la valider. Mais cette matrice est construite pour l'ANSSI ou pour l'autorité sectorielle, pas pour l'auditeur financier. Le RSSI ne pense pas en assertions ; il pense en familles de menaces. Les deux référentiels ne se croisent pas naturellement.

L'ISA 315.26 oblige le CAC à obtenir une compréhension des contrôles informatiques pertinents pour l'audit. Sous NIS2, cette compréhension s'étend aux 18 catégories de mesures de sécurité définies par l'article 21 de la directive. Ce qui se passe réellement : on prend la matrice du RSSI, on la mappe à la grille des assertions, et la moitié des cellules restent vides. L'autre moitié génère des questions de jugement professionnel qui n'ont pas de réponse standardisée.

Contrôles généraux informatiques étendus

Vos procédures habituelles de contrôles généraux informatiques couvrent les accès, les modifications de programmes, le développement et la continuité d'activité. NIS2 ajoute des exigences spécifiques sur la gestion des vulnérabilités, la segmentation réseau, le chiffrement et la gestion des incidents.

L'annexe I de NIS2 détaille les mesures minimales. Pour les contrôles d'accès, elle exige l'authentification multifacteur, la gestion des comptes privilégiés et la révision périodique des droits. Pour la continuité d'activité, elle exige des tests réguliers de restauration, des sites de sauvegarde géographiquement distincts et des plans de communication de crise.

Pour moi, le piège tient au quatrième de ces points sur la continuité : les plans de communication de crise sont rarement testés, et un plan jamais testé n'est pas un contrôle, c'est du tampon.

Intégration dans l'évaluation des risques

Selon ISA 330.8, quand l'auditeur planifie de s'appuyer sur les contrôles, il doit tester leur efficacité opérationnelle. Pour un client NIS2, cela signifie tester non seulement les contrôles financiers habituels, mais aussi les contrôles de cybersécurité qui supportent l'intégrité des données financières.

Un contrôle de sauvegarde défaillant n'affecte pas directement les comptes annuels. Mais si une cyberattaque corrompt les données comptables et que les sauvegardes ne permettent pas la restauration, l'impact financier est immédiat. L'ISA 330.A24 autorise l'auditeur à tester des contrôles compensatoires quand les contrôles primaires présentent des défaillances.

Un certain nombre de cabinets traitent les contrôles NIS2 comme des contrôles informatiques généraux entrant dans le scope ISA 315 ; d'autres les traitent comme des contrôles compensatoires hors scope sauf pertinence directe au reporting financier. Les deux positions tiennent. L'associé A va tester le chiffrement et la gestion des accès comme contrôles ITGC parce qu'il considère que la compromission de ces contrôles affecte la fiabilité de l'ensemble des données financières. L'associé B va les exclure de l'opinion parce qu'il considère que leur lien avec les assertions est indirect, et il documentera ce raisonnement sous ISA 315.A130. Aucune des deux approches n'est fautive ; elles répondent à des seuils de pertinence différents.

Documentation requise

L'ISA 230.8 exige de documenter les réponses aux risques identifiés. Pour un client NIS2, cette documentation doit inclure votre évaluation de la conformité aux mesures de sécurité, l'impact potentiel des défaillances identifiées et les procédures d'audit supplémentaires mises en place.

Le règlement d'exécution attendu de la Commission européenne précisera les critères de certification et d'audit. En attendant, documentez vos procédures avec suffisamment de détail pour qu'un réviseur comprenne votre raisonnement et vos conclusions. Dans nos dossiers, le défaut le plus fréquent est simple : le dossier est trop léger sur le pont entre la matrice NIS2 et l'évaluation des risques d'audit. Le CAC a tout vu, mais rien tracé.

Insight de second ordre : la matrice du RSSI ne traduit jamais proprement vers ISA 315 parce que l'organisation interne crée une incitation perverse. Le RSSI répond hiérarchiquement à la direction des systèmes d'information ou à la direction générale, pas au directeur financier. Sa matrice est calibrée pour rassurer son N+1 et l'ANSSI, pas pour servir une cartographie d'audit. Tant que vous attendez que le RSSI vous fournisse un document directement utilisable, vous attendrez longtemps. Je l'avoue, j'ai mis deux clôtures à comprendre ce point ; j'ai cessé de demander la matrice et je suis allé chercher les preuves moi-même.

Exemple pratique : audit d'une entreprise de transport

Contexte : Rousseau Transport S.A.S., entreprise de transport routier de marchandises basée à Lyon, emploie 120 collaborateurs et réalise 25 millions d'euros de chiffre d'affaires. Elle entre dans le périmètre NIS2 comme entité essentielle du secteur des transports.

Étape 1 : Identifier les systèmes critiques Rousseau utilise un système de gestion des flottes (TMS) connecté à des boîtiers télématiques sur 80 véhicules. Le système comptable (SAP Business One) échange des données avec le TMS pour la facturation automatique. Une défaillance du TMS arrête 70 % de l'activité en moins de 4 heures.

Note de documentation : cartographier les flux de données entre TMS, télématique et comptabilité. Identifier les contrôles automatisés dépendants de ces systèmes.

Étape 2 : Évaluer les contrôles NIS2 existants Le TMS utilise des mots de passe simples pour tous les chauffeurs. Pas d'authentification multifacteur. Les sauvegardes sont quotidiennes mais jamais testées. La segmentation réseau sépare les systèmes comptables du TMS, mais pas les boîtiers télématiques.

Note de documentation : défaillances identifiées dans les catégories NIS2 : authentification (art. 21.2.a), gestion des vulnérabilités (art. 21.2.d), tests de continuité (art. 21.2.g) et gouvernance (art. 21.2.f).

Complication : Le RSSI de Rousseau remet sa matrice de contrôles. Elle est structurée selon les 18 catégories NIS2, pas selon les assertions financières. Le contrôle d'authentification multifacteur, par exemple, couvre l'ensemble des systèmes de l'entreprise, mais ne distingue pas les systèmes financièrement sensibles des autres. Quand l'EC tente de mapper cette matrice à la grille ISA 315, plusieurs cellules restent vides : pas parce que le contrôle n'existe pas, mais parce que la matrice du RSSI ne capture pas l'angle qui intéresse le CAC. Le temps de réponse aux incidents fait l'objet d'un engagement de service de 4 heures dans le contrat avec le prestataire SOC, mais aucun rapport mensuel ne documente le respect réel de ce délai. L'EC ne peut donc pas s'appuyer sur ce contrôle ; il faudra du test substantif.

Étape 3 : Évaluer l'impact sur l'audit financier Une cyberattaque contre le TMS pourrait corrompre les données de kilométrage et de consommation utilisées pour le calcul automatique des marges par contrat client. Ces calculs supportent l'évaluation des provisions pour perte à terminaison sous IAS 11. La matérialité globale est de 375 000 euros. L'impact potentiel d'une corruption de données dépasse ce seuil.

Note de documentation : risque d'anomalie significative identifié sur les contrats à long terme. Procédures d'audit supplémentaires requises sur l'intégrité des données TMS.

Étape 4 : Adapter les procédures d'audit Test des contrôles compensatoires : réconciliation manuelle mensuelle entre TMS et comptabilité par le contrôleur de gestion. Test de détail sur un échantillon de 15 contrats : retracer les données de kilométrage depuis les rapports chauffeur vers le TMS puis vers la facturation.

Note de documentation : contrôles compensatoires efficaces identifiés. Étendue des tests de détail augmentée de 15 % par rapport à l'approche standard.

Sur Rousseau, les contrôles compensatoires permettent une opinion non modifiée. Recommandation client : mise en conformité NIS2 sans délai pour limiter les risques d'amendes et d'arrêts d'activité.

Liste de contrôle pratique

1. Identifier le statut NIS2 du client : vérifier le secteur d'activité selon l'annexe I ou II de la directive, confirmer les seuils de salariés et de chiffre d'affaires, documenter la classification (entité essentielle ou importante).

2. Cartographier les systèmes critiques : identifier les systèmes informatiques qui supportent les processus métier critiques, tracer les flux de données entre ces systèmes et la comptabilité, évaluer l'impact d'une défaillance sur la continuité d'activité selon ISA 315.A130.

3. Tester les contrôles cybersécurité pertinents : authentification des utilisateurs privilégiés sur les systèmes financiers, tests de restauration des sauvegardes comptables, segmentation réseau entre systèmes opérationnels et financiers, gestion des correctifs de sécurité selon ISA 330.A24.

4. Évaluer l'impact financier potentiel : calculer le coût d'un arrêt d'activité de 24h, 72h et une semaine, estimer les amendes potentielles sous NIS2 selon IAS 37.12, comparer ces montants à la matérialité globale selon ISA 320.

5. Documenter les conclusions et recommandations : état de conformité aux 18 catégories NIS2, risques d'anomalies significatives identifiés, procédures d'audit supplémentaires mises en place, recommandations de mise en conformité selon ISA 230.8.

6. Le point le plus déterminant : une défaillance de cybersécurité chez un client NIS2 n'est pas qu'un risque opérationnel. C'est un risque d'audit qui affecte directement votre évaluation des contrôles internes et votre approche de matérialité.

Erreurs courantes

Contenu connexe

- Glossaire ISA 315 : comprendre l'évaluation des risques d'anomalies significatives dans l'environnement informatique - Calculateur de matérialité : estimer l'impact financier des amendes NIS2 sur votre seuil de matérialité globale - [Article connexe] Contrôles informatiques généraux : guide d'audit pour les PME : comment adapter vos procédures de contrôles IT quand les ressources client sont limitées

Recevez des conseils d'audit concrets, chaque semaine.

Pas de théorie d'examen. Juste ce qui accélère les audits.

Plus de 290 guides publiés20 outils gratuitsConçu par un auditeur en exercice

Pas de spam. Nous sommes auditeurs, pas commerciaux.