L'audit, pierre angulaire de la sécurité informatique Audit informatique : la crise joue un rôle de catalyseur

DSI, RSSI... et direction générale

Par qui sont menés les audits de sécurité informatique ? "Cette tâche est souvent dévolue au contrôle interne, également appelé inspection générale ou direction de l'audit, qui met en place des processus de contrôle permanents ou des campagnes plus ciblées en cas de présomption d'action non-conforme", explique Florent Skrabacz, directeur du département Audit de Lexsi.

christophe tallot est senior manager au sein du cabinet mazars
Christophe Tallot est senior manager au sein du cabinet Mazars © Mazars

Mais l'entreprise peut également avoir recours à un cabinet pour réaliser un audit de sécurité externe. Il pourra être commandité aussi bien par la direction générale, en cas de soupçon d'incident, ou en vue d'avoir une vue globale de la situation en termes à la fois techniques et d'organisation.

"Mais l'audit peut également être réalisé à la demande d'un DSI nouvellement arrivé pour faire un état de la situation, ou par le RSSI avec une périodicité plus régulière et sur des éléments plus sélectifs, tel qu'un système critique par exemple", détaille-t-on chez Ernst & Young.

La montée en puissance des audits de pré-production

Apparu dans la foulée du développement des architectures informatiques distribuées et des problématiques de sécurité qui en découlent, l'audit de sécurité a vu le jour il y a une quinzaine d'années. Tout comme le domaine de la sécurité informatique dans son ensemble, la résurgence des failles (notamment par injonction SQL) en 2008 lui a donné une nouvelle jeunesse.

L'affaire Kerviel pousse la demande dans le secteur bancaire

Pour beaucoup d'observateurs, la crise a également joué un rôle de catalyseur en matière d'audits de sécurité.  "Avec la crise, les entreprises recherchent des leviers d'optimisation technique pour ne pas perdre de parts de marché. C'est le cas dans la sécurité comme dans d'autres domaines", analyse Christophe Tallot, senior manager au sein du cabinet Mazars. "Nous avons par exemple réalisé beaucoup d'audits de sécurité de pré-production sur des sites Web dont le lancement ne devait surtout pas échouer."

Florent Skrabacz confirme : "Le premier semestre 2009 s'est traduit par une activité non-soutenue en matière de conseils, et à l'inverse très soutenue sur le front des audits de sécurité. Avec la crise, les RSSI cherchent notamment à faire un état de la situation en vue de mobiliser leur hiérarchie sur des projets." Et Christophe Tallot complète de son côté : "Dans le domaine bancaire, suite à l'affaire Kerviel à la Société Générale, nous avons eu aussi à mener des audits sur le plan de la gestion des droits d'accès. "

Précédent
Suivant