L'audit, pierre angulaire de la sécurité informatique Audits techniques, métier et de conformité : une typologie bien huilée
Schématiquement, les audits de sécurité se découpent en trois grandes catégories : les audits de sécurité métier, les audits de conformité, et les audits techniques (lire le tabeau ci-dessous).
| Grandes catégories d'audit | Types d'audit | Description |
|---|---|---|
| Source : Lexsi / JDN Solutions | ||
| Audits de sécurité métier | Audit d'évaluation des risques | Evaluation des risques (en fonction des besoins métiers), et contrôle de l'adéquation des moyens mis en œuvre pour y faire face |
| Audit de risques de fraudes | Evaluation des risques de fuite d'information au regard des privilèges par fonction de l'entreprise | |
| Audit de risques d'image | Analyse des médias, notamment sur Internet, sur lesquels peuvent être publiées des données susceptibles de déstabiliser ou de nuire à l'entreprise | |
| Audits de conformité | Audit de conformité ISO | Contrôle de l'adéquation des procédures métiers mise en place avec les normes de sécurité ISO |
| Audit de conformité métier | Contrôle de l'adéquation des procédures métiers mise en place avec des normes de sécurité informatique sectorielles | |
| Audit de conformité CNIL | Contrôle de l'adéquation des procédures métiers mise en place avec des normes de la Commission nationale de l'informatique et des libertés | |
| Audit technique | Tests d'intrusion | Tentative d'intrusion sur un ou plusieurs systèmes de l'entreprise pour en repérer les failles |
| Audit de vulnérabilités et de configuration | Contrôle de la mise en place des règles de sécurité au sein d'un système (gestion des accès, filtrage...) | |
| Audit de code | Evaluation de la qualité du code d'une application | |