Passer au contenu

1. Définir une politique de sécurité : l’audit organisationnel précède l’audit technique

L’audit de sécurité est une vue interne du système d’information qu’il ne faut pas confondre avec des tests externes. Deux types d’audits se complètent, plus qu’ils ne s’opposent.

“On met aujourd’hui beaucoup de choses dans le mot audit. Il devient urgent de se mettre d’accord sur le sens du terme ! “, s’exclame Stéphane Laurentin, consultant et RSSI chez Cashware. Et il a raison : en deux ans, les services “d’audit” de sécurité se sont multipliés, pour finalement rassembler, sous un terme commun, des prestations aussi différentes qu’un test d’intrusion ou un scan de vulnérabilité. Toutes ces prestations ne méritent pourtant pas l’appellation d’audit : “L’audit est une prestation locale. Le test, à l’opposé, est dirigé de l’extérieur de l’entreprise. Les actions ne sont pas les mêmes, même si, au final, les recommandations vont dans le même sens”, clarifie Frédéric Préto, directeur général et technique de la société Linkware. Voilà qui élimine d’emblée toutes les actions extérieures au réseau de l’entreprise.

L’audit organisationnel est cher mais efficace

Il existe deux types d’audit : technique et organisationnel. Contrairement à une idée répandue, l’audit technique n’est vraiment utile qu’après une analyse organisationnelle : “L’audit technique s’adresse à un client déjà mûr en terme de sécurité : il a déjà identifié ses risques, mis en place un plan d’action et ce n’est qu’à ce moment-là que nous intervenons “, confirme Jean-Philippe Isckia, responsable des audits chez CF6 du Groupe Telindus. Si l’on veut bien faire, donc, exit la simple prestation d’un consultant venu donner son avis sur la configuration d’un coupe-feu isolé. Mieux vaut d’abord recourir à un véritable audit organisationnel, certes plus cher, mais qui permettra alors d’identifier les points vulnérables, que l’on soumettra ensuite à un audit technique. Commencer par un audit technique revient en fait à prendre le problème à l’envers et peut coûter très cher en prestations techniques peu vitales. “Ne s’intéresser qu’aux vulnérabilités de son système informatique n’est pas forcément efficace. L’important est de mettre en adéquation ce qui est crucial et les risques encourus. Si un aspect du système d’information est vital et que les risques de survenance d’un sinistre sont élevés, c’est là qu’il faudra se pencher en priorité pour en diminuer la vulnérabilité”, explique Jean-Philippe Jouas, consultant et membre du Clusif.Voilà qui positionne clairement l’audit organisationnel comme première étape d’un processus plus long, qui pourra éventuellement déboucher sur des audits techniques, des tests d’intrusion ou des scans de vulnérabilité.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jérôme Saiz