L'audit, pierre angulaire de la sécurité informatique Audits techniques, métier et de conformité : une typologie bien huilée
Schématiquement, les audits de sécurité se découpent en trois grandes catégories : les audits de sécurité métier, les audits de conformité, et les audits techniques (lire le tabeau ci-dessous).
Grandes catégories d'audit | Types d'audit | Description |
---|---|---|
Source : Lexsi / JDN Solutions | ||
Audits de sécurité métier | Audit d'évaluation des risques | Evaluation des risques (en fonction des besoins métiers), et contrôle de l'adéquation des moyens mis en œuvre pour y faire face |
Audit de risques de fraudes | Evaluation des risques de fuite d'information au regard des privilèges par fonction de l'entreprise | |
Audit de risques d'image | Analyse des médias, notamment sur Internet, sur lesquels peuvent être publiées des données susceptibles de déstabiliser ou de nuire à l'entreprise | |
Audits de conformité | Audit de conformité ISO | Contrôle de l'adéquation des procédures métiers mise en place avec les normes de sécurité ISO |
Audit de conformité métier | Contrôle de l'adéquation des procédures métiers mise en place avec des normes de sécurité informatique sectorielles | |
Audit de conformité CNIL | Contrôle de l'adéquation des procédures métiers mise en place avec des normes de la Commission nationale de l'informatique et des libertés | |
Audit technique | Tests d'intrusion | Tentative d'intrusion sur un ou plusieurs systèmes de l'entreprise pour en repérer les failles |
Audit de vulnérabilités et de configuration | Contrôle de la mise en place des règles de sécurité au sein d'un système (gestion des accès, filtrage...) | |
Audit de code | Evaluation de la qualité du code d'une application |