Definition
Sur les 30 derniers dossiers que nous avons revus en interne, 22 mentionnaient un prestataire cloud sans qu'aucune procédure d'audit spécifique n'ait été documentée. Pas de rapport ISAE 3402 demandé, pas de SLA analysé, pas de test des contrôles d'accès. La direction avait externalisé, et l'équipe d'audit avait suivi sans poser de questions.
Fonctionnement
L'ISA 315.29 exige que vous compreniez le rôle des prestataires de services informatiques dans le système de contrôle interne. Quand une entité utilise l'informatique en nuage, la fourniture de services et le stockage des données se déroulent en partie ou entièrement chez le prestataire. Vous ne pouvez donc pas auditer les contrôles informatiques de l'entité seule. Vous devez évaluer ceux du prestataire.
L'ISA 330.8 précise que vous pouvez utiliser les rapports ISAE 3402 (Type I ou Type II) comme élément de preuve, à condition que vous :
1. Ayez obtenu le rapport directement auprès du prestataire ou de l'entité 2. Ayez évalué l'étendue, les procédures et la date du rapport par rapport à votre période d'audit 3. Ayez examiné les constats du rapport et leurs implications pour votre stratégie d'audit
Un rapport ISAE 3402 Type II couvrant une année entière d'opérations réduit considérablement le travail à effectuer. Mais si le rapport est Type I (point dans le temps), ou s'il ne couvre que certains processus critiques, vous devez compenser par du travail supplémentaire : tests additionnels chez l'entité ou demandes d'informations directes au prestataire.
Dans les dossiers que nous voyons, la plupart des équipes d'audit traitent les rapports ISAE 3402 comme si leur existence suffisait. C'est du tampon. L'ISA 330.8 exige que vous jugiez par vous-même si le rapport fournit une évidence suffisante et appropriée.
Exemple pratique : Baxter & Associés SARL
Client : Baxter & Associés SARL, cabinet de conseil français, chiffre d'affaires de 8,5 M EUR, rapportage IFRS.
Situation : Baxter externalisait l'ensemble de sa paie et sa tenue de grand livre auprès d'un prestataire de services en nuage. Aucun contrat de service (SLA) écrit n'existait. L'entité pensait être couverte par un rapport ISAE 3402 Type I datant de 14 mois.
Étape 1 : évaluation du rapport ISAE 3402 Vous avez obtenu le rapport du prestataire. Date : 15 janvier 2024. Couverture : contrôles d'accès et sauvegardes. Votre audit couvre la période du 1er janvier au 31 décembre 2024. Le rapport Type I s'arrête à un moment précis. Il ne documente pas les changements de contrôle ou les incidents survenus après janvier 2024. Note de documentation : rapport ISAE 3402 obtenu, Type I, couverture [x], date [y], limites [z] notées au dossier.
Étape 2 : demande d'informations sur les changements intervenus Vous avez écrit au prestataire pour demander quels changements ont affecté les contrôles d'accès et les sauvegardes depuis la fin du rapport ISAE 3402 (janvier 2024) jusqu'à décembre 2024. Réponse : aucun changement significatif documenté, mais pas de rapport complémentaire. Note de documentation : demande écrite au prestataire, réponse reçue, pas de changement identifié depuis le rapport ISAE 3402.
Étape 3 : procédures substantives supplémentaires Parce que le rapport Type I était limité et ancien, vous avez : (a) testé l'intégrité d'un échantillon de transactions paie (10 rubriques) en retraçant du registre paie jusqu'aux factures paie, (b) demandé au prestataire une liste des accès utilisateurs au 31 décembre 2024 et l'avez comparée à la liste à jour de Baxter, (c) téléchargé un échantillon de sauvegardes et vérifié que les fichiers pouvaient être restaurés, (d) rapproché les soldes du grand livre hébergé avec les balances locales exportées. Note de documentation : tests de transactions paie effectués (10 éléments tracés), liste d'accès obtenue et comparée, procédure de sauvegarde testée, rapprochement grand livre effectué.
Conclusion : Le rapport ISAE 3402 Type I a fourni une base, mais pas une preuve suffisante. Les procédures supplémentaires ont comblé les lacunes et soutenu votre conclusion selon laquelle les contrôles du prestataire étaient opérationnels et appropriés.
Ce que les auditeurs et les réviseurs oublient souvent
Les inspections internationales identifient fréquemment des audits qui s'appuient intégralement sur un rapport ISAE 3402 sans évaluer sa pertinence ou sa couverture. L'ISA 330.8 exige un jugement professionnel, pas une acceptation passive.
Une erreur pratique courante consiste à supposer qu'un contrat cloud (SLA) avec le prestataire garantit les contrôles. L'ISA 315.29(b) exige que vous identifiiez les risques liés aux contrôles qui ne sont pas effectués par l'entité auditée. Un SLA définit un service, pas un contrôle. Vérifier le service et les contrôles qui le soutiennent sont deux questions distinctes.
Nous constatons aussi que beaucoup d'équipes ne documentent pas explicitement leur évaluation du rapport ISAE 3402. Si vous le mentionnez, notez votre conclusion : type (I ou II), période couverte, contrôles clés documentés, lacunes identifiées. L'absence de cette analyse expose votre dossier à un constat de révision. Je l'avoue, c'est la lacune la plus frustrante à relever lors de nos revues internes, parce qu'elle est simple à corriger mais persiste année après année.
Risques informatiques en nuage vs contrôles informatiques généraux
Les risques en nuage ne se réduisent pas aux seuls contrôles informatiques généraux. Quand tout est hébergé chez un tiers, l'environnement devient une usine à gaz où les responsabilités se diluent entre l'entité et son prestataire.
| Dimension | Informatique en nuage | Informatique générale (sur site) |
|---|---|---|
| Contrôle physique | Aucun — prestataire responsable | Entité responsable |
| Accès aux données | Via web/authentification à distance | Accès réseau local ou site |
| Responsabilité de sauvegarde | Prestataire (à vérifier via ISAE 3402) | Entité ; audit du département IT |
| Continuité d'exploitation | Dépend de SLA et du prestataire | Plan de continuité interne |
| Conformité réglementaire | Risque partagé (données hors UE, RGPD) | Entité responsable |
| Évidence d'audit | Rapport ISAE 3402 + procédures supplémentaires | Travail d'audit direct sur les contrôles |
Quand cette distinction compte lors d'un audit
Supposez qu'une PME a choisi un prestataire de paie en nuage (basé en Bulgarie) et que la direction a décidé que « le prestataire gère tout, il n'y a rien à contrôler ». L'ISA 315.29 exige cependant que vous identifiiez tous les risques liés à des services externalisés. Vous devez vérifier que la direction connaît les risques (confidentialité des données et continuité de service) et qu'elle a mis en place des contrôles pour les atténuer (contrat SLA, procédure d'approbation des salaires). L'absence de contrôles compensateurs chez le client, combinée à un rapport ISAE 3402 absent ou limité, est la base d'un constat d'audit.
Termes connexes
- Rapport ISAE 3402 : la base de preuve pour évaluer les contrôles chez un prestataire. - Continuité d'exploitation : risque amplifié en informatique en nuage si le prestataire cesse ses activités. - Risque inhérent : évaluer d'abord les risques avant d'examiner les contrôles du prestataire. - Procédures substantives : tests supplémentaires requis si le rapport ISAE 3402 est limité. - ISA 315 : identification des risques : la norme qui gouverne l'évaluation des risques liés à l'informatique en nuage. - Contrôles d'accès : le contrôle clé à vérifier dans tout rapport ISAE 3402 Type II.
Utiliser la checklist de continuité de service en nuage
Ciferi propose un modèle de checklist pour documenter votre évaluation des risques et des contrôles chez un prestataire informatique. Elle couvre l'évaluation du rapport ISAE 3402, l'analyse du SLA, les procédures de sauvegarde et la gestion d'accès. Cela structure vos procédures d'audit et documente votre conclusion selon ISA 330.8.
---