ASPECTS PRATIQUES

DE LA RÉALISATION

D’UN AUDIT À DISTANCE

Kernelis Resilience permet la continuité de l’activité d’évaluation de la conformité d’Organisations partenaires ou de fournisseurs même en période de troubles sévères dans les capacités de déplacement des équipes d’audit. En outre, Kernelis Resilience a été développé pour pouvoir être déployé en environnement sécurisé.

CHRONOLOGIE TYPE

1

Programme d’audit

Description du déroulement de l’audit et transmission de l’agenda. Garanties apportées sur la confidentialité et la propriété de l’information.

2

Questionnaire:
Caractéristiques de
l’organisation auditée

Renseignement par l’Audité des caractéristiques organisationelles, hierarchiques, type de produits, lieux de productions, etc.

3

4

Calcul configuration
de base de l’audité (ZB)

Cartographie des vulnérabilités auxquelles l’Audité est exposé en l’absence de la mise en œuvre de mesures de protection.

Accès à l’ensemble
documentaire
de l’Audité (ODS)

Dans un espace sécurisé et crypté ’Audit Data Room’, LAudité impémente les intrants de son système de management de la qualité et rapports d’audits externes,  d’inspections, etc.

5

Calcul à distance de la
configuration actuelle

La contribution de l’ODS à la réduction de l’exposition au risque de l’Audité est analysée à partir de la comparaison avec la configuration ZB.

6

Communication
des résultats

Chaque calcul de configuration est documenté dans un rapport d’analyse publié automatiquement par Kernelis et adressé à l’Auditeur. L’Auditeur évalue et communique à l’Audité la nécessité ou non d’actions correctives.

7

8

Boucle(s) itérative(s)
de renforcement
de l’audité

En cas de non-satisfaction des exigences de l’Auditeur, l’Audité charge la preuve des actions correctives sur l’Audit Data Room pour permettre le calcul de la nouvelle configuration et l’émission du rapport.

Conclusion

Réalisation d’une visio-conférence (~2h), exposé des résultats de l’analyse de la configuration satisfaisante et des constats qui seront organisés dans le rapport d’audit.

1

Programme d'audit

L’Audité reçoit à environ J-15 de la date de l’audit un document qui lui explique comment l’audit à distance va se dérouler. Ce document est dans son intention similaire à l’agenda d’audit qui est généralement transmis à l’Audité, dans la quinzaine qui précède la venue sur site.

Ce document aura également pour objectif de tranquilliser l’Audité sur les aspects liés à la confidentialité et à la propriété de l’information.

2

Questionnaire:

Caractéristiques de l’organisation auditée

Le document de préparation d’audit comporte en annexe des questionnaires établis par Kernelis et destinés à collecter des informations donnant des précisions sur l’Organisation auditée et sur son activité.


Les questionnaires sont adaptés à partir des interfaces d’acquisition de données «Organization» et «Domain of Activity» du logiciel Kernelis Resilience. Ils sont standardisés, rédigés en anglais, et sont mis à la disposition de l’Auditeur dans la période allant de J-30 à J-15 de la date d’audit.


Il est attendu que les questionnaires renseignés par l’Audité soient retournés à l’Auditeur au plus tard à J-8 de la date de l’Audit. À réception des questionnaires, l’Auditeur transmet une copie à Kernelis si un mode de fonctionnement du type société de services est retenu.

Si l’Audité ne fournit pas les informations demandées dans le délai requis, l’audit pourra néanmoins se dérouler sur la seule base des données connues de l’Auditeur mais dans ce cas, le rapport ne pourra pas évaluer la capacité de l’Audité à pouvoir mettre en place les actions correctives ; seuls les écarts entre les constats d’audit face aux exigences des référentiels formant le périmètre seront documentés dans le rapport.

 

Les écarts seront toutefois hiérarchisés selon leur effet contributif à la vulnérabilité organisationnelle analysée par rapport à la conformité aux référentiels retenus dans le cadre de l’audit.

Présentation des items à renseigner par l'Audité pour permettre la modélisation des caractéristiques de son Organisation. Le renseignement exhaustif des champs accentue la résolution des calculs, cependant, la méconnaissance de certains items n'empêchera pas la poursuite de l'audit.

3

Calcul configuration de base de l’audité (ZB)

À réception des questionnaires retournés par l’Audité, Kernelis Resilience peut calculer la configuration de base (ou configuration ZB) applicable à l’Audité.

Cette configuration ZB donne la cartographie des vulnérabilités auxquelles l’Audité est exposé en l’absence de la mise en oeuvre de mesures de protection.

Ces mesures de protection sont composées des pratiques implémentées par l’Organisation auditée sous la forme des preuves documentées disponibles au moment de l’audit. Cet ensemble documentaire, destiné à être analysé par Kernelis Resilience, est désigné par l’acronyme ODS. Le calcul de la configuration ZB sera généralement réalisé entre J-7 et J-1 de la date de début de l’audit.

 
 
 

Représentation simplifiée de la modélisation du Système (Organisation auditée et les propriétés de son domaine d'activité). Les points gris répartis circulairement correspondent aux points critiques (environs 2'000 à 10'000 points en fonction de l'ampleur de l'Organisation et la complexité réglementaire propre à son domaine d'activité).

 

Le maillage interne symbolise les liens fonctionnels existants entre les points  critiques.  Il représente le principe d'auto-cohérence du modèle, c'est à dire la résonnance d'un point critique sur un panel d'autres points critiques.
Le chemin de surbrillance symbolise l'étendue du retentissement d'un point critique (en bas à droite sur un ensemble d'autres points critiques, pourtant situés dans des répertoires 'process' éloignés (voir ci-dessous).

Le système (modèle), est constitué d'un ensemble de process généraux, appellés 'Global Subsystem' communs à tout type d'Organisation, répartis en 9 sous-systèmes principaux (gradient d'orange). Le système est complété par un ensemble de sous-systèmes propres à l'organisation et à son domaine d'activité 'Activity Subsystem' (gradient de mauve), dans lesquels le contexte réglementaire spécifique est intégré et constamment mis à jour, afin de couvrir de façon holistique l'ensemble de l'écosystème de l'Organisation.

Le système (modèle) est constitué de miliers de points critiques. Chaque point critique est la terminaison d'une ramification prenant naissance dans les process généraux (global subsystem) ou dans les process spécifiques au domaine d'acitivté de l'Organisation (activity subsystem). Chaque point critique est associé à une exigence à remplir, selon des textes référencés et présents dans la base de donnée interne à Kernelis. Cette base de donnée est mise à jour réguilièrement et, pour chaque Organisation, l'ajout où la suppression d'exigences peut être aisément modulée en fonction des objectifs de l'audit.​

La conjugaison et la conjugaison et la grammaire employées dans les textes référencés constituants les exigences sont prises en compte. Ainsi, l'emploi du conditionnel aura un impact moindre que l'utilisation de l'impératif. Le calcul des vulnérabilités, c'est à dire de la déviation des points critiques par rapport à leurs états d'origine (voir ci-dessous) est entre autre basé sur cette logique.

Répertoire de force (menaces) agissant sur les points critiques en les faisant devier de leur état d'origine (modélisation des vulnérabilités)

'UPSTREAM FORCES' : FF[U]

Type de forces (menaces) atténuables par l'implémentation de procédures opérationnelles (SOPs)

'DOWNSTREAM FORCES' :  FF[D]

Type de forces (menaces) indépendante de la mise en place de procédures opérationnelles SOPs

Les forces dites UPSTREAM (ou FF[U]) correspondent à des menaces qui sont atténuables par l’implémentation de procédures opérationnelles (SOPs) adéquates. Elles sont répertoriées en 12 principales catégories (A à L), elles-mêmes sous-divisées en 15 items.  
Les forces dites DOWNSTREAM (ou FF[D]) restent, elles, indépendantes des procédures opérationnelles et sont classées en 6 catégories, également divisées en 15 items. La matrice des 16’200 interactions entre FF[U] et FF[D] constitue le champ de forces, agissant d’une manière globale sur les points critiques du système.
L’exemple ci-dessous illustre deux interactions qui auront un potentiel de répercussions respectivement très élevées et nulles sur la déviation des points critiques. 

L’exemple ci-contre illustre deux interactions qui auront un potentiel de répercussions respectivement très élevées et nulles sur la déviation des points critiques. 

La matrice ci-dessous montre au travers du gradient de couleurs l'intensité des interactions FF[U] vs. FF[D] dans un cas type. La déviation des points critiques par rapport à leur état d'origine est fonction de la sensibilité de chaque point critique à être sous l'influence de la cartographie du champ de forces. Ainsi, certains points critiques seront très fortement impactés par le champ de forces tandis que d'autres resteront insensibles. La représentation du système ci-dessous, sous l'influence d'un champ de forces, est un exemple de disparitié entre les points critiques.

​Le champ de forces qui s'applique sur l'ensemble du système perturbe les points critiques et les fait dévier de leur état d'origine. L'ampleur de la déviation de chaque point critique est représentée par le gradient de couleurs (vert > rouge) et donne des indications sur la vulnérabilité qui est fonction des caractéristiques fonctionelles de l'Organisation renseignées dans l'étape #2 et des contraintes géographiques, sociétales,  économiques ainsi que du contexte réglementaire du domaine d'activité.
Cette configuration nommée ZB correspond au "Worst Case Scenario", c'est à dire en l'absence de mesures de protection, qui seront intégrées à partir de l'étape suivante.

L'impact du champ de forces sur le système est donc lié à la qualité et à la diversité des mesures de protection mises en place par l'Organisation pour réduire l'exposition au risque. Si la menace (énergie emmagasinée par la déviation des points critiques) est supérieure à la capacité de résilience du système, alors le relâchement de l'énergie dans le système, telle que la survenue d'une crise du type de celle du COVID-19, aura des conséquences irreversible pour l'Organisation.

 

4

Accès à l’ensemble documentaire de l’Audité (ODS)

Dès réception du document donnant les modalités de l’audit, l’Audité est invité à placer dans un dossier informatique spécifique et dédié à l’audit (appelé Audit-Dataroom) une copie numérique au format pdf de l’ensemble des documents de l’ODS soumis à l’analyse dans le cadre de l’audit. Les documents de l’ODS placés

Les documents de l’ODS placés dans l’Audit-Dataroom sont constitués des intrants du système de management de la qualité (SOPs, Instructions,enregistrements, etc.) mais aussi de tout autre pièce écrite pouvant apporter une preuve documentée de  l’effective implémentation des pratiques (rapports d’audits externes, rapports d’inspection, etc.). Dans un mode normal d’analyse et d’évaluation d’un ODS, un nombre de fichiers allant jusqu’à environ 5000 unités reste tout à fait compatible avec la réalisation de l’audit dans sa durée.
 

Le dossier Audit-Dataroom est positionné sur un emplacement sécurisé mais doit être accessible à distance par l’Auditeur pendant la durée totale de l’Audit. L’Audité doit être averti que seuls les documents placés dans l’Audit-Dataroom seront analysés.


Auncun document placé dans l’Audit-Dataroom ne sera ni téléchargé, ni conservé par Kernelis sous un quelconque format qui permettrait sa reproduction. Les documents sont analysés « sur place » dans l’Audit-Dataroom, seuls les résultats de l’analyse sont conservés par Kernelis pendant la durée de sa mission.

A titre d’exemple, les résultats conservés par Kernelis ont la forme donnée dans le tableau ci-dessous.

 

5

Calcul à distance de la configuration actuelle

Dès réception du document donnant les modalités de l’audit, l’Audité est invité à placer dans un dossier informatique spécifique et dédié à l’audit (appelé Audit-Dataroom) une copie numérique au format pdf de l’ensemble des documents de l’ODS soumis à l’analyse dans le cadre de l’audit. Les documents de l’ODS placés

Exemple de document (SOP)
original extrait de la GED et chargé
sur l’Audit-Dataroom

Représentation du système dans la configuration CR. Le bouclier entourant une partie du champ de forces illustre l’ODS qui tend à faire réduire la déviation des points critiques par rapport à la configuration ZB.

L’accès à l’ODS de l’Organisation auditée via l’Audit-Dataroom permet d’intégrer l’ensemble de ses mesures de protection dans le calcul des caractéristiques du système. En opposition à la configuation ZB, la configuration en vigueur au moment de l’audit (CR) permet de réaliser un ensemble de mesures comparatives pour caractériser objectivement l’impact de l’ODS sur le système.
La modulation de l’exposition au risque, du niveau de résilience, le coût, la contrainte et le niveau de conformité sont les principales métriques qui peuvent être extraites de manière globale ou de manière très spécifique.


Les résultats, rendus disponibles à la fois dans le rapport généré automatiquement et dans les interfaces numériques de visualisation des données, permettent de prendre connaissance à différents niveaux de résolution des calculs effectués par Kernelis Resilience suivant la logique System > Process > Subprocess > Step > Requirement (CP)

Évaluations spécifiques et automatiques des élements de l’ODS

La performance de chaque document de l’ODS mis à disposition sur l’Audit-Dataroom peut être évaluée individuellement. Grâce à l’intégration d’un ensemble de facteurs permettant une calibration la plus fine possible (telle que la prise en compte des caractéristiques du domain d’activité, de son jargon  et des normes en vigueurs), Kernelis Resilience peut éditer un rapport contenant, pour chaque document, des indicateurs de niveau de conformité du document et des zones de texte non-conformes.

 

6

Communication des résultats

Les résultats disponibles offrent différents niveaux de détails allant des indicateurs globaux permettant un suivi simple et rapide de l’évolution des configurations au cours du temps (voir illustrations ci-dessous) jusqu’à l’extraction de métriques ultra-spécifiques propres aux points critiques ou aux éléments individuels de l’ODS (voir tableaux en bas).
L’ensemble des résultats sont rassemblés dans un rapport automatiquement généré au format PDF, contenant tous les éléments certifiant l’intégrité et la traçabilité des données (en bas à droite).

Illustration d’un paneau de résultat en configuration CR au niveau «Process»

Illustration d’un panneau de suivi
des résultats globaux au cours du temps

Visualisation ‘light’ des résultats
adaptée au format smart-phone

Rapport type, automatiquement
généré au format PDF

© 2020, by Kernelis.