L'audit, pierre angulaire de la sécurité informatique Les réglementations n'imposent pas de norme de sécurité

De la PME au grand groupe

Le recours aux audits de sécurité n'est pas l'apanage des grands groupes. Les entreprises de taille moyenne (réalisant plus de 50 millions d'euros de chiffre d'affaires) ont souvent recours à des cabinets extérieurs pour contrôler la robustesse de leur système d'information. Aux côtés des cabinets d'audit, comme PriceWaterhouseCoopers, KPMG, et Deloitte, des sociétés de services prodiguent également ce type de service. C'est le cas en France de Lexsi et Devoteam par exemple.

"Des entreprises de 300 à 400 personnes font appel à nous. Il s'agit pour elles de se rassurer sur leur capacité technique et opérationnelle à se protéger contre d'éventuelles menaces", confirme Florent Skrabacz, directeur du département audit de Lexsi. "Elles se posent des questions concrètes : mes mails sont-ils sécurisés ? Peut-on me pirater des données ?"

L'audit s'inscrit aussi dans une démarche de mise en conformité

Au sein des grands groupes, l'audit visera souvent à s'assurer de la conformité des processus de sécurité avec un référentiel interne pré-établi et / ou une norme de sécurité (ISO par exemple).

Mettre en place le contrôle approprié

Sur le plan de la réglementation, le législateur impose aux entreprises de protéger certaines données, notamment les informations personnelles des clients (coordonnées, données bancaires...) et de mettre en place le niveau de contrôle approprié.

"Mais les réglementions françaises et européennes ne recommandent pas de recourir à une norme de sécurité particulière", note Vincent Maret, responsable audit et sécurité chez Ernst & Young et membre de l'Afai. "Il existe néanmoins une exception au niveau d'une directive européenne sur les organismes payeurs des subventions agricoles qui recommande que ces organismes mettent notamment en place ISO 27002 et Cobit." Un premier texte qui pourrait peut-être ouvrir la voie à d'autres initiatives réglementaires.