Audit sécurité
L’audit sécurité consiste en la vérification des mesures de sécurité, sur un SI ou ses composants. Il peut s’agir d’un audit organisationnel, qui vérifie la gouvernance sécurité, la gestion des risques, celle des politiques et des processus. L’audit s’appuie généralement sur un référentiel normatif, comme l’ISO 27001. Afin de vérifier la mise en place de mesures de sécurité qui correspondent à l’état de l’art, le référentiel ISO 27002 est aussi souvent vérifié.
Il existe aussi des audits techniques, audits d’architecture permettant de vérifier la sécurisation d’un réseau, l’audit de configuration afin de vérifier le durcissement des composants, l’audit de code source afin de s’assurer l’absence de vulnérabilité dès la phase de programmation.
L’audit commence généralement par une phase de prise d’informations, via la documentation existante et la rencontre des équipes techniques et projets lors de réunions . Cette phase peut être ouverte à d’autres contacts utiles, comme par exemple une rencontre avec le comité de direction pour s’informer des objectifs stratégiques. Au terme de cette étape, l’auditeur doit avoir une bonne connaissance du métier du client, de ses contraintes et de ses objectifs. Il s’agit de bien comprendre les enjeux du projet et d’identifier les points sensibles.
Ensuite, l’auditeur doit constater de manière exhaustive la conformité aux différentes exigences. Ce travail de préparation et de documentation approfondi permet d’aborder dans de bonnes conditions la phase d’audit et de conseil. L’auditeur est ainsi capable de déterminer si l’ensemble du périmètre étudié fonctionne de manière optimale, avec la garantie d’un bon niveau de sécurité, ou s’il nécessite la mise en place d’un plan d’action.
MindShield met en pratique la norme ISO 19011 dans ses audits sécurité (Norme internationale ISO/IEC 19011 :2011: Lignes directrices pour l’audit des systèmes de management. Disponible sur http://www.iso.org)