Page 5 - Audit & Sécurité informatique - Oo2 Formations & Consulting
P. 5
L’audit de sécurité L’audit de sécurité
informatique, informatique,
pour faire quoi ? comment ça se passe ?
Qu’il s’agisse d’un audit de sécurité organisationnel ou Quel que soit l’audit de sécurité informatique que
technique, l’audit de sécurité permet de mettre en vous choisirez, le déroulement d’une mission d’audit
évidence les faiblesses et les vulnérabilités du système s’organise plus ou moins selon le même enchaine-
d’information et de définir des axes d’amélioration ment de phases : la préparation de la mission d’audit,
pour en relever le niveau de sécurité. l’audit en lui-même et enfin les résultats de l’audit.
En soi, un audit de sécurité informatique doit Les étapes d'un audit de sécurité informatique
permettre d’atteindre les objectifs suivants :
Phase préparatoire : Organisation d’une réunion de
Évaluer le niveau de maturité du SI (analyse de cadrage entre Oo2, l’auditeur Oo2, l’organisme audité
l’architecture réseau, configuration, contrôle des (vous) et éventuellement son commanditaire (s’il
accès, sécurité des ressources humaines et des s’agit d’un audit externe). Cette rencontre doit
communications, cryptographie…) ; permettre de définir les objectifs de l’audit, son
Tester la résistance du SI face à une attaque ; périmètre, des critères d’audit, etc.
Tester l’efficacité de la politique de sécurité du SI
(PSSI) ; Phase d’exécution de l’audit : Réalisation des entre-
Vérifier la conformité du SI. Il pourra s’agir du tiens avec les personnes intéressées, analyse de
respect des réglementations et obligations l’architecture réseau, analyse des configurations, audit
légales ainsi que de la conformité avec les référen- des vulnérabilités infrastructure et système, test éven-
tiels en vigueur (ISO 27000, COBIT, ITIL, EBIOS, tuel d’intrusion. Analyse in fine des écarts entre les
MEHARI, etc. et bien entendu les directives élabo- preuves fournies et les critères d’audit.
rées par l’agence nationale de sécurité de
système d’information de votre pays, à défaut de Phase de restitution : Oo2 vous transmet son
l’ANSSI pour la France ; rapport d’audit qui comprend des recommandations,
Tester l’intégration d’un nouvel équipement. présenté, au cours d’une réunion de clôture, à la Direc-
tion de votre entreprise ainsi qu’au DSI : il est impor-
tant que les méthodes, constats et conclusions de
l’audit soient bien compris par toutes les parties
prenantes du projet.
Afin de bénéficier d’une analyse
exhaustive, Oo2 Consulting vous
recommande de procéder à un audit
complet : audit organisationnel et
audit technique.
3