Audits communs : le modèle à succès des registries ccTLD

Depuis environ 10 ans, les services d'enregistrement européens de domaines nationaux de premier niveau (ccTLD) s'auditent mutuellement selon la norme ISO/IEC 27001. Une réussite qui va bien au-delà des exigences normatives.

Texte: Patrick Leu, publié le 05. septembre 2025

Stock photo showing the review of ISO certification standards with digital icons representing quality control
Photo: Adobe Stock | Bird Photographer TH

Switch gère les domaines nationaux « .ch » et « .li » (ccTLD : Country Code Top Level Domain) pour le compte de l'OFCOM et de l'Office de la communication de la Principauté du Liechtenstein. En tant que registry ccTLD, Switch exploite une infrastructure critique pour ces deux pays. Afin d'assumer cette responsabilité, Switch mise notamment sur la norme ISO/IEC 27001 en matière de sécurité de l'information. L'un des aspects de cette norme consiste à vérifier régulièrement l'efficacité de son système de gestion et à l'adapter si nécessaire. Switch s'organise à cet effet avec d'autres registries européens. La procédure décrite ci-dessous répond à diverses exigences normatives du simple fait qu'elle est mise en œuvre, et ce indépendamment de l'objet de l'audit concerné. Pour les personnes intéressées, une référence à la section de la norme est indiquée entre parenthèses.

De la norme à la pratique

La réalisation d'audits internes du ISMS (Système de Management de la Sécurité de l'Information) est une exigence de la norme (9.2) qui doit avoir lieu à intervalles réguliers (9.2.1). Ces audits doivent être objectifs et indépendants (9.2.2.b). Cela exclut en principe tout auto-audit de son propre ISMS. L'un des critères d'audit à définir (9.2.2.a) consiste à s'assurer que les auditeurs possèdent les connaissances et l'expérience nécessaires à cet effet. C'est le cas dans notre cercle, car tous pratiquent la sécurité de l'information et beaucoup d'entre eux possèdent également les diplômes et certifications correspondants (7.2).

On peut alors soit faire appel à des sociétés de conseil et d'audit qualifiées, ce qui peut s'avérer très coûteux, soit s'organiser soi-même. Le problème lié au recours à des sociétés d'audit externes est, comme on le sait, le manque de contexte. Elles vérifient certes des éléments qu'elles comprennent peut-être sur le plan technique, mais qu'elles ne peuvent pas replacer correctement dans le contexte de l'entreprise. Les conclusions de l'audit sont alors soit génériques, soit nécessitent beaucoup d'imagination pour pouvoir identifier l'écart réel. Les registries emploient des spécialistes hautement qualifiés en matière de sécurité et d'audit. Il était donc évident que les registries ccTLD des Pays-Bas, d'Allemagne, d'Autriche et de Suisse/Liechtenstein créent un groupe d'intérêt (4.2, A.5.6) afin de s'auditer mutuellement.

Plus de sécurité de l'information pour tous les registries

À l'époque, les quatre organisations exploitaient un ISMS conforme à la norme ISO/IEC 27001:2013. La composition du groupe d'audit a changé à plusieurs reprises au cours des dernières années. La Slovénie en a fait partie pendant un certain temps et les Pays-Bas ont joué un rôle déterminant dans le groupe pendant plusieurs années, jusqu'à ce qu'ils décident de le quitter en 2024. La principale caractéristique du groupe est que les échanges se déroulent en allemand. La documentation peut toutefois être rédigée dans une autre langue ; il suffit alors de prévoir le temps nécessaire à la traduction des textes pendant l'audit. Les fondateurs du groupe d'audit poursuivaient plusieurs objectifs avec ce groupe d'intérêt : 

  • Changement de rôles : chaque registry assume au moins une fois par an la direction de l'audit d'un autre registry. Chaque registry est audité une fois par an. Cela renforce la capacité d'audit des personnes qui assument le rôle d'auditeur principal. En outre, la rotation garantit que d'autres personnes examinent régulièrement le ISMS concerné.
  • Développement ciblé du propre ISMS : le registry à auditer envoie le plan d'audit (9.2) aux registries chargés de l'audit. Les auditeurs principaux se préparent en réfléchissant à des questions pertinentes et en se basant éventuellement sur leur propre ISMS. Pendant l'audit, les mises en œuvre (7.5) sont vérifiées à l'aide d'échantillons. En règle générale, l'équipe d'audit pose d'autres questions sur la mise en œuvre ou apporte son expérience (A.5.36). Cela aide d'une part l'auditeur principal (oui, enfin une conclusion !) et d'autre part toutes les autres parties concernées à vérifier leurs propres mises en œuvre du ISMS.
  • Échange d'expériences sur la mise en œuvre des contrôles annexes : lors d'un audit de plusieurs jours, l'examen des contrôles préalablement planifiés commence le deuxième jour, conformément au champ d'application (6.1.3.d) du registry concerné. Les nerds parmi les participants peuvent alors se perdre dans des discussions. Il appartient alors à l'auditeur principal de reporter les discussions passionnantes au déjeuner ou au dîner, au profit du plan d'audit.
  • Tutoriels ciblés : lors de la planification de l'audit, chaque registry peut proposer des thèmes qui seront discutés en détail le dernier jour de l'audit. Il peut s'agir de démonstrations d'outils, d'exemples de directives ou de conseils pour la mise en œuvre de processus. Ces dernières années, l'accent a été mis en particulier sur les changements résultant de la révision de la norme ISO/IEC 27001:2022. Il n'est pas rare que des projets concrets soient élaborés immédiatement.
  • Audits rentables et conformes aux normes : les frais de déplacement et d'hébergement sont nettement inférieurs à ceux engagés lorsque l'on fait appel à des sociétés de conseil externes. Les avantages sont bien plus importants et les résultats, par exemple les propositions d'amélioration, sont spécifiques au secteur et donc plus ciblés. Cela permet de gagner beaucoup de temps dans le développement et la mise en œuvre de mesures par rapport à une approche basée sur un livre blanc ou une page Confluence vierge. Jusqu'à présent, tous les organismes de certification ISO accrédités ont accepté sans réserve ce type d'audits internes.

Chaque audit comprend bien sûr une réflexion sur cette journée intense autour d'une spécialité locale. Ceux qui le souhaitent peuvent ensuite se replonger dans des discussions détaillées.

Des conclusions pertinentes pour la pratique plutôt que des solutions standard

À l'époque, les niveaux de maturité des ISMS variaient davantage qu'aujourd'hui. Le développement individuel des ISMS (10.1) s'est accéléré grâce aux audits communs. Les mesures sont mieux ciblées, mises en œuvre plus efficacement et montrent beaucoup plus tôt l'efficacité souhaitée (9.3.1). Les risques de non-conformités graves lors d'un audit ISO externe sont réduits, car les conclusions de la série d'audits (9.2.2) ne peuvent être considérées que comme des non-conformités mineures (10.2) lors de l'audit externe.

Registry
Portrait photo of Patrick Leu, Information Security Officer at Switch

Patrick Leu

Information Security Officer

Switch

Voir tous les articles

Notre travail au quotidien

Portrait photo of Michael Hausding
Cyber Security

Michael Hausding reste membre du comité de FIRST

Portrait photo of Visho Jesudasan, Head of Sourcing, Architecture & Operations at Switch
Cloud Services

Switch Cloud: souveraineté numérique pour les hautes écoles

Swiss FEGA Logo
Innovation

Switch Cloud pour la recherche génomique suisse

EOSC Logo
Innovation

Construire des ponts au sein de la fédération EOSC

A white Swiss cross on red background with a protective network around it.
Cyber Security

Engagement pour un Internet sûr en Suisse

Tom Kleiber, Managing Director, Switch.
Corporate

Tom Kleiber quitte Switch