Torus IT Security
Menu
Ressources

Checklist Torus

Checklist des preuves d'audit cyber à préparer

Une checklist pratique pour préparer des preuves d'audit cyber lisibles, contextualisées et défendables sans empiler des documents inutiles.

Une preuve d’audit cyber n’est pas seulement un document que l’on peut montrer. C’est un élément qui doit pouvoir être compris par quelqu’un d’autre, relié à un périmètre, daté, rattaché à une exigence et défendu sans reconstituer toute l’histoire.

Cette checklist sert à préparer un dossier plus lisible avant un audit, une revue client, un comité ou une demande interne.

À retenir Une bonne preuve ne cherche pas à impressionner par le volume. Elle clarifie ce qui a été fait, sur quel périmètre, à quelle date et avec quelle validation.

1. Identifier le périmètre couvert

Avant de rassembler les fichiers, vérifiez que le périmètre est explicite.

  • L’organisation, l’entité ou le client concerné est nommé clairement.
  • La période couverte est indiquée.
  • Les populations, applications, actifs ou processus concernés sont définis.
  • Les exclusions éventuelles sont assumées.
  • Le lien avec l’audit, la norme, le questionnaire ou l’exigence est compréhensible.

Sans ce cadrage, une preuve peut être exacte mais impossible à exploiter correctement.

2. Rattacher chaque preuve à une exigence ou une action

Une pièce isolée perd vite sa valeur. Pour chaque preuve importante, vérifiez qu’elle répond à une question simple : que justifie-t-elle ?

  • Une campagne de sensibilisation doit être liée à une population et une période.
  • Une procédure doit être liée à une exigence, un processus ou un contrôle.
  • Un export doit être lié à une action, un suivi ou une décision.
  • Une validation doit indiquer qui a validé quoi.
  • Un écart doit être relié à un traitement ou une décision.

Le dossier devient plus défendable quand le lecteur n’a pas à deviner le rôle de chaque élément.

3. Ajouter le contexte minimum

Pour chaque preuve, les repères suivants doivent être visibles ou faciles à retrouver.

  • Titre ou objet.
  • Date ou période.
  • Version si le document évolue.
  • Responsable ou source.
  • Périmètre.
  • Statut : brouillon, validé, en cours, obsolète, remplacé.

Un document sans contexte peut donner l’impression d’un travail incomplet, même lorsque le fond est bon.

4. Vérifier la cohérence entre les pièces

Avant de transmettre un dossier, relisez les preuves entre elles.

  • Les dates ne se contredisent pas.
  • Les périmètres restent cohérents.
  • Les noms de documents et versions sont alignés.
  • Les statuts d’action correspondent au dernier suivi.
  • Les preuves ne contredisent pas une politique, une procédure ou un reporting.

Les incohérences documentaires sont souvent plus gênantes que les manques, car elles créent un doute sur la qualité globale du dossier.

5. Préparer des exports relisibles

Un export doit rester utile hors de l’outil qui l’a produit.

  • Les colonnes importantes sont compréhensibles.
  • Les dates et statuts sont lisibles.
  • Les filtres appliqués sont explicites.
  • Le périmètre de l’export est visible.
  • Le format peut être partagé ou archivé sans dépendre d’une démonstration en direct.

Cela vaut pour les exports de campagne, les suivis d’action, les rapports de risque, les preuves documentaires et les tableaux de décision.

6. Capturer les décisions

Les décisions sont souvent les pièces les plus utiles du dossier.

  • Acceptation provisoire d’un risque.
  • Report d’une mesure.
  • Priorisation d’un chantier.
  • Validation d’une version documentaire.
  • Arbitrage sur un périmètre.
  • Dépendance à un fournisseur, un client ou une équipe tierce.

Si ces décisions restent seulement dans des échanges informels, le dossier perd une partie de sa défendabilité.

7. Éviter le réflexe du volume

Ajouter beaucoup de documents rassure rarement un auditeur. La qualité vient surtout de la sélection.

Avant d’ajouter une pièce, demandez-vous :

  • ce qu’elle prouve réellement ;
  • si elle est plus utile qu’une autre pièce déjà présente ;
  • si elle risque de contredire un élément plus récent ;
  • si elle aide le lecteur ou l’oblige à trier davantage.

Un dossier court mais cohérent est souvent plus solide qu’un dossier très volumineux.

Signaux d’alerte

Prenez le temps de revoir le dossier si vous constatez l’un de ces signaux.

  • Plusieurs versions du même document circulent.
  • Les preuves sont stockées dans trop d’espaces différents.
  • Les exports ne montrent pas la période ou le périmètre.
  • Les décisions importantes ne sont pas tracées.
  • Les preuves ne permettent pas de comprendre qui a fait quoi.
  • Une réponse IA est utilisée comme preuve directe, sans document ou validation associée.

Comment Torus s’inscrit dans cette logique

Torus ne promet pas de produire une conformité automatique. La plateforme aide plutôt à relier campagnes, documents, risques, décisions, exports et preuves dans un fil de travail plus clair.

La plateforme Torus et la page Sécurité & données montrent comment organiser ces éléments sans perdre la séparation des espaces client, la validation humaine et la maîtrise des sources.