Logo Complikey
Accueil
Produits
Normes
Consultants
Tarifs
Blog
Contact
Planifier une démo

Audit interne cybersécurité : objectiver la maturité de vos mesures avec CompliKey

Par AlexV
Le 06/04/2026

Audit interne CompliKey

Comprendre simplement le module, son rôle et son fonctionnement

Le module d’audit interne CompliKey a été conçu pour répondre à une question très concrète :

Comment vérifier, de façon structurée et défendable, le niveau réel de maturité de ses mesures de cybersécurité ?

Dans beaucoup d’organisations, la conformité et la maturité sont suivies au quotidien de manière déclarative.

C’est utile pour piloter. Mais cela ne suffit pas toujours quand il faut objectiver la situation, préparer un audit, rendre compte à une direction ou produire un livrable crédible pour un client.

Le module d’audit interne apporte cette seconde lecture :

une maturité auditée, datée, structurée et exploitable.


Pourquoi ce module existe

Dans CompliKey, les mesures de conformité peuvent déjà être suivies dans le temps avec une maturité déclarative.

Cette vision est utile pour gérer le quotidien, suivre une progression et prioriser les actions.

Mais une auto-évaluation a toujours une limite :

elle peut être optimiste, incomplète ou difficile à défendre face à un tiers.

Le module d’audit interne a donc été conçu pour :

  1. objectiver la maturité d’une mesure,
  2. réduire les biais de l’auto-évaluation,
  3. disposer d’une photographie fiable à une date donnée,
  4. faire émerger des constats clairs,
  5. suivre des remédiations après audit.

En pratique, il transforme un pilotage déclaratif en un pilotage plus crédible, plus structuré et plus défendable.


À quoi sert concrètement le module d’audit interne

Le module permet de réaliser un audit guidé à partir d’un modèle CompliKey, sur un périmètre donné, en évaluant les mesures une par une.

Il sert notamment à :

  1. préparer un audit interne ou une revue de gouvernance,
  2. objectiver le niveau réel d’un périmètre,
  3. disposer d’un support clair pour la direction,
  4. formaliser des non-conformités ou des écarts,
  5. suivre ce qui doit être corrigé après l’audit.

Ce n’est pas un simple questionnaire.

C’est un cadre structuré pour évaluer, constater et suivre.


Ce qui est audité dans CompliKey

L’objet central de l’audit est la mesure.

Une mesure correspond à un contrôle ou à une exigence présente dans le tableau de conformité, rattachée à une ou plusieurs normes.

C’est un choix important, car il rend l’audit :

  1. plus concret,
  2. plus actionnable,
  3. plus facile à relier au pilotage quotidien.

Autrement dit, on n’audite pas un principe abstrait.

On audite une mesure réellement suivie dans l’organisation.


Comment un audit est préparé

1. L’audit part d’un modèle CompliKey

Le module repose sur des modèles d’audit fournis par CompliKey.

Ces modèles permettent de lancer rapidement un audit structuré, sans avoir à recréer toute la méthode.

Ils sont conçus pour être cohérents, multi-normes, et directement exploitables.

Chaque modèle contient :

  1. une structure d’évaluation,
  2. des questions liées aux mesures,
  3. une logique homogène d’un audit à l’autre.

2. L’audit est rattaché à un périmètre

Chaque audit est créé sur un périmètre précis.

Cela peut être par exemple :

  1. une entité,
  2. un système,
  3. un produit,
  4. un environnement donné.

Ce cadrage est essentiel pour éviter toute ambiguïté sur ce qui est réellement audité.

3. Les mesures sont sélectionnées depuis le tableau de conformité

Dans le MVP, la sélection des mesures se fait à partir du tableau de conformité.

Le module d’audit ne se base donc pas sur la DDA pour pré-sélectionner les mesures dans cette première version.

Cette logique permet de rester simple et cohérente avec le socle central de CompliKey.


Comment une mesure est évaluée

Chaque mesure auditée est notée selon une échelle de 0 à 4, identique à celle utilisée dans le reste de la plateforme.

L’évaluation repose sur 4 dimensions fixes.

Cette approche a été choisie pour garder un audit :

  1. simple à comprendre,
  2. homogène,
  3. lisible,
  4. défendable.

L’objectif n’est pas de multiplier les questions pour complexifier l’exercice, mais de donner une méthode stable pour objectiver la maturité.


Quelle est la logique de preuve

CompliKey ne stocke pas de documents sensibles dans le module d’audit.

Il n’y a donc pas d’upload de preuves dans le MVP.

À la place, l’auditeur renseigne des références simples et utiles :

  1. nom du document,
  2. date de dernière version,
  3. observation.

Cette logique permet de documenter ce qui a été vu, sans transformer l’outil en espace de stockage documentaire.

Elle reste cohérente avec l’ADN CompliKey :

référencer les preuves, sans stocker inutilement des contenus sensibles.


Comment l’auditeur documente sa méthode

Le module permet aussi de préciser comment l’audit a été réalisé.

Les méthodes de collecte peuvent être indiquées, par exemple :

  1. revue documentaire,
  2. entretiens,
  3. observations.

Cela permet de donner plus de contexte au rapport et d’expliquer sur quelle base les évaluations ont été faites.


Ce que l’auditeur peut relever pendant l’audit

Pendant l’audit, l’auditeur peut formaliser des constats sur une mesure.

Dans le MVP, les types de constats sont :

  1. non-conformité mineure,
  2. non-conformité majeure,
  3. écart.

Chaque constat doit être justifié par les faits observés.

L’idée est simple : on ne signale pas un problème “au ressenti”.

On documente ce qui a été constaté.


Ce qu’il se passe après un constat

Dès qu’une mesure comporte au moins un constat, CompliKey crée automatiquement une remédiation par mesure.

Cette remédiation sert à suivre la suite de l’audit dans le temps.

Elle contient :

  1. un statut,
  2. un responsable,
  3. une échéance,
  4. des commentaires.

Les statuts disponibles sont :

  1. ouvert,
  2. en cours,
  3. clôturé.

C’est un point important du module :

l’audit ne s’arrête pas à l’évaluation. Il débouche sur un suivi concret.


L’audit est-il modifiable une fois terminé ?

Non.

Une fois clôturé, l’audit devient immuable.

Cela signifie qu’il :

  1. ne peut plus être modifié,
  2. constitue une preuve à date,
  3. conserve sa valeur de référence.

C’est essentiel pour garder un historique fiable et éviter de réécrire un audit a posteriori.

Les audits clôturés restent ensuite consultables dans le temps par périmètre.


Quelle différence entre maturité déclarative et maturité auditée

C’est une distinction importante dans CompliKey.

La maturité déclarative

C’est la maturité suivie au quotidien dans le tableau de conformité.

Elle reflète l’état estimé par l’organisation.

La maturité auditée

C’est la maturité issue du module d’audit interne.

Elle est évaluée à une date donnée, sur la base d’un audit structuré.

Le module permet ensuite d’aligner le déclaratif sur l’audit avec une action simple :

aligner toutes les mesures auditées.

Dans le MVP, cette action met à jour uniquement le score déclaratif.


À quoi sert le rapport PDF

Une fois l’audit clôturé, CompliKey permet d’exporter un rapport PDF exécutif.

Ce rapport est pensé pour être :

  1. clair,
  2. lisible,
  3. partageable,
  4. utile à la fois en interne et vis-à-vis d’un tiers.

Il contient notamment :

  1. le contexte,
  2. le périmètre,
  3. la méthodologie utilisée,
  4. les résultats,
  5. les constats,
  6. les remédiations ouvertes,
  7. les références de preuves observées.

Le rapport permet de sortir du seul cadre de l’outil et de partager une synthèse exploitable avec :

  1. la direction,
  2. un consultant,
  3. un client,
  4. un auditeur interne.


Cas d’usage concrets

Pour une PME ou une ETI

Le module permet de vérifier si les mesures suivies dans CompliKey sont réellement maîtrisées, et pas seulement “notées” comme telles.

Pour un consultant

Il apporte un cadre commun pour réaliser des audits plus homogènes, plus lisibles et plus réutilisables d’un client à l’autre.

Pour une direction ou un RSSI

Il permet de disposer d’une lecture plus crédible qu’une simple auto-évaluation, avec des constats et des actions de suivi.


Ce que le module ne fait volontairement pas

Pour rester simple et utilisable, le MVP ne cherche pas à tout couvrir.

Il n’intègre pas :

  1. de multi-auditeurs,
  2. d’upload de preuves,
  3. de pondération avancée,
  4. de heatmap,
  5. de benchmark,
  6. de modification après clôture,
  7. de logique avancée de score consolidé,
  8. de revue annuelle automatisée dans cette version.

Ces limites sont assumées.

Le but du module n’est pas de devenir un outil d’audit complexe, mais de fournir un cadre guidé, sérieux et actionnable.


Pourquoi ce module compte dans la méthode CompliKey

Dans la logique CompliKey, l’audit interne ne remplace pas le pilotage quotidien.

Il vient le renforcer.

Il permet de :

  1. qualifier plus sérieusement les mesures,
  2. démontrer la réalité du niveau atteint,
  3. piloter les écarts à travers les remédiations.

C’est ce qui fait du module d’audit un outil utile non seulement pour l’audit, mais aussi pour la gouvernance dans la durée.

👉 Une organisation qui audite ses mesures de façon structurée ne se contente plus de déclarer sa maturité.

Elle commence à la rendre défendable.

COMPLIKEY
La méthode de supervision cyber incarnée
dans un logiciel
  • Tableau de conformité centralisé
  • Plan de traitement des risques & analyse
  • Tableaux de bord & KPIs en temps réel
  • Guidage et automatisation des revues/documentation
Plus d'informations
Logo complikey
COMPLIKEY
LinkedIn
Copyright 2026 CompliKey - Tous droits réservés.
Liens Utiles
Produits
Normes
Consultants
Contact
À propos de nous
Mentions légales
CGU
CGV
Politique de confidentialité
Politique de cookies