Page 5 - Audit & Sécurité informatique - Oo2 Formations & Consulting
P. 5

L’audit de sécurité                                         L’audit de sécurité
          informatique,                                               informatique,

          pour faire quoi ?                                           comment ça se passe ?




     Qu’il s’agisse d’un audit de sécurité organisationnel ou    Quel que soit l’audit de sécurité informatique que
     technique, l’audit de sécurité permet de mettre en          vous choisirez, le déroulement d’une mission d’audit
     évidence les faiblesses et les vulnérabilités du système    s’organise plus ou moins selon le même enchaine-
     d’information et de  définir des axes d’amélioration        ment de phases : la préparation de la mission d’audit,
     pour en relever le niveau de sécurité.                      l’audit en lui-même et enfin les résultats de l’audit.

     En soi, un audit de sécurité informatique doit              Les étapes d'un audit de sécurité informatique
     permettre d’atteindre les objectifs suivants :
                                                                 Phase préparatoire : Organisation d’une réunion de
         Évaluer le niveau de maturité du SI (analyse de         cadrage entre Oo2, l’auditeur Oo2, l’organisme audité
         l’architecture réseau, configuration, contrôle des      (vous) et éventuellement son commanditaire (s’il
         accès, sécurité des ressources humaines et des          s’agit d’un audit externe). Cette rencontre doit
         communications, cryptographie…) ;                       permettre de définir les objectifs de l’audit, son
         Tester la résistance du SI face à une attaque ;         périmètre, des critères d’audit, etc.
         Tester l’efficacité de la politique de sécurité du SI
         (PSSI) ;                                                Phase d’exécution de l’audit : Réalisation des entre-
         Vérifier la conformité du SI. Il pourra s’agir du       tiens avec les personnes intéressées, analyse de
         respect des réglementations et obligations              l’architecture réseau, analyse des configurations, audit
         légales ainsi que de la conformité avec les référen-    des vulnérabilités infrastructure et système,  test éven-
         tiels en vigueur (ISO 27000, COBIT, ITIL, EBIOS,        tuel d’intrusion. Analyse in fine des écarts entre les
         MEHARI, etc. et bien entendu les directives élabo-      preuves fournies et les critères d’audit.
         rées par l’agence nationale de sécurité de
         système d’information de votre pays, à défaut de        Phase de restitution : Oo2 vous transmet son
         l’ANSSI pour la France ;                                rapport d’audit qui comprend des recommandations,
         Tester l’intégration d’un nouvel équipement.            présenté, au cours d’une réunion de clôture, à la Direc-
                                                                 tion de votre entreprise ainsi qu’au DSI : il est impor-
                                                                 tant que les méthodes, constats et conclusions de
                                                                 l’audit soient bien compris par toutes les parties
                                                                 prenantes du projet.








          Afin de bénéficier d’une analyse
          exhaustive, Oo2 Consulting vous
          recommande  de procéder à un audit
          complet  :  audit  organisationnel et
          audit technique.













                                                                                                          3
   1   2   3   4   5   6   7   8   9   10