Les Topical Requirements – ou Exigences Thématiques – nouvelles composantes du CRIPP, commencent à être publiées. Membre du Groupe Professionnel Systèmes d’Information, intervenant EQA/Certification pour l’IFACI et consultant en audit et contrôle interne chez Audiligence, Olivier Sznitkies a participé à la révision de la version française¹ du premier volet consacré à la cybersécurité.

Pourriez-vous nous parler de votre parcours ?

Olivier Sznitkies : J’ai un diplôme d’ingénieur en informatique que j’ai complété par un master en gestion à l’IAE de Paris. Je me suis orienté assez rapidement dans les métiers du consulting et de l’audit en système d’information, notamment chez KPMG et Arthur Andersen. J’ai ensuite évolué vers le poste de directeur de l’audit interne pour l’Europe, le Moyen-Orient et l’Afrique chez Lafarge, à la tête d’une équipe de 25 personnes. J’ai quitté le groupe en 2019 et fondé, en 2020, Audiligence, ma société de conseil en audit et contrôle interne. J’interviens aujourd’hui régulièrement comme responsable de mission pour IFACI Certification.

En lien régulier avec l’IFACI, donc ?

O.S. : J’ai toujours été proche de l’IFACI, depuis mes premiers postes chez KPMG, en faisant notamment partie du Groupe Professionnel Systèmes d’Information. Lorsque j’étais chez Lafarge, nous avons passé notre première certification IFACI, et j’étais en charge d’animer le dispositif pour ma région. Je suis toujours très actif auprès de l’IFACI, et je participe également aux travaux sur les Normes Internationales de l’audit interne.

Quel est le rôle du Groupe Professionnel Systèmes d’Information (GPSI) ?

O.S. : Le GPSI est un groupe qui est constitué d’auditeurs internes et de spécialistes en audit interne des SI. Il est constitué d’experts des systèmes d’information et de professionnels de l’audit interne qui ont vocation à réfléchir aux questions liées à cette thématique pour la communauté des auditeurs internes, en fournissant des points de vue, des outils ou encore des informations sur les nouvelles normes. Notre ambition est d’aider tous les adhérents qui ne sont pas forcément des spécialistes à décrypter les questions spécifiques aux SI et leur impact dans nos métiers.

« Améliorer la qualité et le professionnalisme des services d’audit interne »

Avec le GPSI, vous avez donc travaillé sur les Topical Requirements – les Exigences Thématiques – des Normes 2025 de l’audit interne. De quoi s’agit-il ?

O.S. : Les exigences thématiques sont de nouveaux éléments obligatoires du cadre de référence international de l’audit interne de l’IIA².  Elles visent à améliorer la qualité et le professionnalisme des services d’audit interne sur certaines thématiques précises que l’on retrouve fréquemment dans les plans d’audit des organisations. Par exemple, la cybersécurité, la gestion des tiers, la résilience ou la culture. Elles proposent un cadre et des outils pour aborder ces thématiques de façon professionnelle et structurée. Ces nouvelles exigences thématiques sont des éléments obligatoires. À partir du moment où vous allez auditer un sujet, que ce soit la résilience, l’éthique, la culture, la cybersécurité, vous devrez au cours de votre audit, selon les normes, respecter un certain nombre d’exigences. 

La première exigence thématique qui a été publiée en février 2025 porte sur la cybersécurité. Il y en aura d’autres qui vont être progressivement publiées, avec à chaque fois un processus de consultation publique. Elles deviennent applicables un an après leur première publication^{3. :} celle concernant la cybersécurité le sera à partir de février 2026. Il faut s’y préparer dès maintenant.

Comment se présente cette première exigence thématique sur la cybersécurité ?
O.S. : Il s’agit d’un document de quelques pages qui a vocation à fournir un cadre de référence pour les équipes d’audit interne, pour l’organisation des missions d’assurance et de conseil portant sur le domaine de la cybersécurité.

Ce cadre vise à rendre ces missions plus pertinentes au regard d’un risque qui apparaît fréquemment dans la liste des risques majeurs pour les organisations, comme on peut le voir depuis plusieurs années dans l’étude Risk in focus^4. 

Ce document explique donc, lorsque vous faites des audits de cybersécurité, ce que vous devez examiner a minima, comme par exemple la gouvernance et l’ensemble des dispositifs de contrôle liés à la cybersécurité.

Et à côté, vous avez un manuel utilisateur suggérant des outils, comme un programme de travail s’appuyant sur les référentiels de cybersécurité les plus reconnus internationalement, pour s’assurer que l’on est parfaitement aligné avec les meilleures pratiques. L’exigence thématique vise en effet également à prendre en compte les apports de référentiels comme le NIST⁵ ou le COBIT⁶, qui listent des objectifs de contrôle en matière de gestion SI et de cybersécurité.

« On retrouve, dans les exigences thématiques, les 3 domaines de gouvernance, de gestion des risques et de contrôle qui fondent le périmètre d’action de l’audit interne »

Quels sont les axes majeurs définis dans l’Exigence Cybersécurité?

O.S. : Les thèmes d’audit portent plus particulièrement sur les domaines suivants : la gouvernance de la cybersécurité, la gestion des risques liés à la cybersécurité (identification, évaluation, compréhension des conséquences, capacité de gestion des incidents, etc.) et la gestion des dispositifs de contrôle liés à la cybersécurité, par exemple des aspects techniques ou de formation des utilisateurs et des administrateurs de la SSI. On retrouve les 3 domaines de gouvernance, de gestion des risques et de contrôle qui apparaissent bien dans la définition de l’audit interne de l’IIA.

Lorsqu’ils planifient des missions d’audit en matière de cybersécurité, les responsables d’audit interne peuvent parfaitement justifier d’éventuels écarts avec ces domaines compte tenu de leurs contextes respectifs et des attentes des parties prenantes vis-à-vis des missions de cybersécurité. Mais dans ce cas, il est nécessaire de documenter dans les dossiers d’audit les raisons de ces écarts.

Quels sont les impacts sur le plan d’audit ? Sur les missions d’audit ?

O.S. : L’exigence thématique cybersécurité ne pose pas de prescription quant à la planification d’audit de cybersécurité. Les décisions de planification des missions concernant la cybersécurité restent du ressort du management exécutif et du Conseil d’Administration. En revanche, l’exigence thématique prescrit une approche précise lorsque finalement une mission « cybersécurité » est programmée ou lorsque le thème de la cybersécurité est abordé dans le cadre d’une mission d’audit plus large. 

Quel a été le travail du GPSI de l’IFACI sur cette exigence thématique cybersécurité ?

O.S. : De mon côté,j’avais déjà contribué à la traduction de la première version, qui n’était pas encore totalement aboutie. Cette première version était alors encore très – trop – prescriptive, allant, par exemple, jusqu’à des prescriptions quant à la taille des mots de passe recommandée par l’organisation.

Les commentaires, résultant des appels à commentaires publics, ont été pris en compte pour la nouvelle version et, avec le GPSI, nous avons réalisé une revue de la traduction, de façon à la rendre parfaitement compréhensible

 pour les auditeurs francophones¹. Ce qui a pris environ un mois et demi de travail pour le GPSI.

« Je vois parfois des directions de l’audit interne tomber dans une forme de piège »

À la suite de ces différents travaux, y aurait-il une réflexion que vous souhaiteriez partager avec les adhérents de l’IFACI ?

O.S. : Je vois parfois des directions de l’audit interne tomber dans une forme de piège. En matière de risque lié aux systèmes d’information, la cybersécurité devient souvent « l’arbre qui cache la forêt ». C’est bien entendu un risque majeur, certainement le risque majeur en matière de SI, qui apparaît en haut des listes, mais il y en a de nombreux autres liés eux aussi aux systèmes d’information : la fiabilité des données, la gestion des budgets, le succès des projets, la continuité, la gestion de l’obsolescence des systèmes, etc. Il ne faut pas croire que, en insérant la cybersécurité dans son plan d’audit, on a traité l’ensemble des risques liés au SI. Ces autres domaines de risque seront d’ailleurs développés dans la nouvelle édition du Guide de la gouvernance des systèmes d’information, publié par l’IFACI, le CIGREF⁸ et l’AFAI-ISACA^9,, dont la nouvelle version, en cours de développement, sera disponible plus tard cette année.

¹ https://www.ifaci.com/wp-content/uploads/2025/03/cybersecurity_tr_user_guide_french.pdf

² https://www.theiia.org/

³ Les thématiques à venir peuvent être consultées sur le site de l’IFACI : https://www.ifaci.com/les-exigences-thematiques/

⁴ https://www.ifaci.com/risk-in-focus/

⁵ https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework

⁶ https://www.isaca.org/resources/cobit

⁷ https://www.ifaci.com/2025/02/17/le-nouveau-guide-des-risques-cyber-realise-par-des-auditeurs-pour-des-auditeurs/ 

⁸ Association des grandes entreprises et administrations publiques françaises, ayant pour objectif de développer la capacité à intégrer et à maitriser le numérique : https://www.cigref.fr/

⁹ Association internationale de référence « pour un digital de confiance »,qui regroupe plus de 185 000 membres dans 195 pays : https://engage.isaca.org/parischapter/home