- L'audit interne offre la connaissance du contexte organisationnel et la capacité d'un suivi continu — l'audit externe offre l'indépendance, la référence aux standards internationaux et la crédibilité vis-à-vis des parties prenantes externes.
- Target (2013) : l'outil FireEye avait détecté l'activité malveillante — le problème n'était pas la détection mais l'absence de processus pour agir sur les alertes. Un audit interne efficace aurait dû identifier cette défaillance de processus avant l'incident.
- Medibank (2022) : la violation via un prestataire tiers illustre pourquoi l'audit externe seul ne suffit pas — un audit interne continu sur la chaîne de sous-traitance et les processus de gestion des prestataires est nécessaire pour détecter les défaillances entre les cycles d'audit externe.
- L'audit interne perd sa valeur s'il n'est pas indépendant de la ligne opérationnelle qu'il évalue — il doit rapporter directement à la direction générale ou au conseil d'administration, pas au DSI ou au RSSI.
- Pour les organisations de taille réduite sans audit interne dédié, la supervision directe de la direction générale des contrôles de sécurité clés est le substitut nécessaire — avec une fréquence et une rigueur comparables à ce qu'un auditeur interne effectuerait.
La distinction entre audit interne et audit externe est fondamentale pour construire un dispositif de gouvernance de la sécurité efficace. Ces deux mécanismes ne sont pas interchangeables — ils jouent des rôles différents et se complètent. Les organisations qui n'ont qu'un audit externe annuel, sans mécanisme d'audit interne, disposent d'un dispositif incomplet. Celles qui n'ont qu'un audit interne sans regard externe indépendant manquent d'une perspective critique objective.
Le choix entre internaliser ou externaliser l'audit, ou combiner les deux, dépend de la taille de l'organisation, de ses ressources, de ses obligations réglementaires et du niveau de maturité de sa gouvernance de la sécurité. Dans tous les cas, la compréhension de ce que chaque modalité apporte et de ce qu'elle ne peut pas apporter est la condition d'un investissement judicieux.
La valeur spécifique de l'audit interne
L'audit interne dispose d'avantages structurels sur l'audit externe. La connaissance du contexte organisationnel : les auditeurs internes connaissent l'histoire de l'organisation, ses contraintes, ses cultures d'équipe, ses non-dits. Ils peuvent identifier des défaillances subtiles que des auditeurs externes, découvrant l'organisation lors d'une mission ponctuelle, ne percevraient pas. La continuité du suivi : un département d'audit interne peut suivre l'évolution des constats dans le temps, vérifier la réalisation des plans de remédiation, et détecter les récidives. La fréquence et la réactivité : l'audit interne peut se déclencher sur événement — incident, changement majeur, alerte — sans les délais et coûts d'un déclenchement d'audit externe.
Ses limites sont symétriques. Le risque de capture : un auditeur interne peut développer des relations personnelles avec les équipes auditées qui compromettent son objectivité. La dépendance hiérarchique : si l'audit interne rapporte au DSI ou au directeur opérationnel, son indépendance est compromise. Le manque de perspective externe : les auditeurs internes peuvent manquer de visibilité sur les pratiques du marché et les évolutions réglementaires récentes.
La publication de 9,5 gigaoctets de données internes de Thales par LockBit a soulevé des questions sur l'étendue et la qualité des contrôles internes appliqués aux données de propriété intellectuelle dans un groupe opérant dans des secteurs hautement sensibles (défense, aérospatial, systèmes critiques). Dans des organisations de cette nature, l'audit interne de sécurité doit couvrir non seulement les systèmes IT mais les processus de gestion des documents, les droits d'accès aux données classifiées, et les pratiques de sécurité des prestataires et sous-traitants. La sophistication du groupe LockBit et la quantité de données obtenues suggèrent une présence durable qui aurait dû être détectée par des contrôles internes de surveillance des comportements d'accès sur les systèmes documentaires sensibles.
La valeur spécifique de l'audit externe
L'audit externe apporte ce que l'audit interne ne peut structurellement pas offrir : l'indépendance totale et la crédibilité associée. Un rapport d'audit externe favorable — par une firme reconnue, selon un standard international — est un signal de confiance pour les parties prenantes externes : clients, partenaires, investisseurs, autorités réglementaires. Cette crédibilité externe a une valeur commerciale directe dans les secteurs où la confiance dans la sécurité est un facteur de décision pour les clients.
L'audit externe apporte également une référence comparative : les auditeurs qui interviennent dans de nombreuses organisations peuvent situer la posture de sécurité de l'organisation auditée par rapport aux pratiques du marché et aux exigences des référentiels internationaux. Cette perspective comparative n'est pas disponible en interne.
Organiser la complémentarité
La complémentarité optimale consiste à utiliser l'audit interne pour la surveillance continue et le suivi des remèdes, et l'audit externe pour la validation indépendante et la crédibilité vis-à-vis des parties externes. L'audit interne prépare l'organisation à l'audit externe en identifiant et corrigeant les défaillances avant la mission externe — ce qui permet à l'audit externe de se concentrer sur une vérification de haut niveau plutôt que sur la correction de défaillances basiques. Cette organisation est plus efficiente et moins coûteuse que l'approche consistant à découvrir les défaillances lors de l'audit externe.
La violation Citibank via une vulnérabilité d'API traversal illustre comment un audit interne bien calibré peut identifier des défaillances de conception que les audits externes de conformité, centrés sur les processus et les configurations standards, ne détectent pas nécessairement. Les tests de pénétration applicatifs — qui simulent les techniques d'attaque réelles — constituent un complément indispensable aux audits de conformité pour les organisations dont les systèmes exposés incluent des interfaces en ligne directement accessibles aux clients. Ces tests sont typiquement réalisés par des équipes d'audit interne spécialisées ou des prestataires spécialisés, et doivent couvrir l'ensemble des interfaces exposées, pas uniquement les applications principales.
L'arrêt des usines Renault causé par WannaCry a illustré une défaillance typique de la complémentarité audit interne / audit externe : les audits de sécurité IT couvrent les systèmes d'information bureautiques et les applications métier, mais les systèmes industriels (SCADA, automates programmables, réseaux OT) sont fréquemment exclus du périmètre, confiés à des équipes distinctes et soumis à des référentiels différents. Un audit interne transversal, couvrant l'interface entre les systèmes IT et OT, est la seule modalité permettant d'identifier les risques de contagion entre ces deux périmètres — risques que les audits sectoriels séparés ne peuvent pas capturer.
Les deux incidents Toyota liés à des configurations cloud incorrectes (2019 et 2023) illustrent les limites d'un audit interne qui n'a pas évolué avec le passage au cloud. Toyota dispose d'un programme de contrôle qualité et d'audit interne reconnu mondialement pour ses activités de production. Ce même programme n'a pas été étendu avec la même rigueur aux ressources cloud, créant un angle mort persistant. L'audit interne efficace dans un environnement cloud-first nécessite des compétences spécifiques — audit de configurations cloud, revue des politiques IAM, surveillance des dérives de configuration — que de nombreux départements d'audit interne traditionnels ne possèdent pas encore.