L'audit de sécurité

L'audit de sécurité

Jérôme Saiz , Décision Micro (n° 492), le 21/01/2002 à 00h00

Introduction
L'audit de sécurité est souvent négligé au profit de simples tests d'intrusion ou de vulnérabilité. Il est pourtant le préalable à toute vraie démarche de sécurisation.

1. Définir une politique de sécurité : l'audit organisationnel précède l'audit technique
L'audit de sécurité est une vue interne du système d'information qu'il ne faut pas confondre avec des tests externes. Deux types d'audits se complètent, plus qu'ils ne s'opposent.
- Audit technique : est-ce suffisant ?

2. Réussir la phase de mise en oeuvre : des méthodes pour remédier à la vulnérabilité
Un audit formel commence par une analyse de l'organisation et se termine par des recommandations. Entre les deux, un projet parfois long et complexe et qui implique toute l'entreprise.
- “ Un processus à la fois stratégique et technique ”
- “ L'expérience de l'auditeur prime sur la méthode ”

3. Protéger ses infrastructures : la sécurité physique requiert des spécialistes
Sécuriser les infrastructures exige l'experience pratique d'un prestataire devant concilier les contraintes légales et les réalités du terrain.
- “ L'audit physique nous aide à rester dans la légalité ”