![]() |
Il y a tellement de choses à faire en
informatique dans une PME, si peu de temps et de ressources ! Un audit de
sécurité n’est il pas une perte de temps et d’argent ?
Curieusement, et comme en témoigne l’expérience de plusieurs de
nos propres Clients, la question ne se pose plus lorsqu’un incident grave
survient dans la salle machine. Lorsque le Directeur Général
visite cette pièce pour la première fois et découvre avec
stupeur et colère ce qui empêche son entreprise de travailler et
de facturer, c’est lui qui réclame un audit de sécurité!
Et pourtant à ce moment là une partie du mal est déjà fait !
La part toujours croissante de l’informatique dans l’entreprise
génère des risques nouveaux qui peuvent constituer une menace pour
l’activité. Ces risques sont naturels, ils ne sont pas dramatiques en
eux-mêmes, c’est le fait de les ignorer qui est dramatique.
Quel type d’Audit réaliser ?
Dans un premier temps, si l’entreprise n’a pas fait d’audit
de sécurité au cours des 3 dernières années, elle
doit en premier lieu envisager un audit global (par exemple ISO27002) qui lui
donnera une vision d’ensemble sur son niveau de sécurité.
Un tel audit couvre tous les aspects de la sécurité de
l’information: physiques, techniques, organisationnels, juridiques,
humains... C’est la vocation
de l’Audit Flash
proposé par Eox Partners.
En second lieu, et/ou si le type d’activité de l’entreprise le justifie, elle peut faire réaliser un audit approfondi ciblé (audit de sécurité physique, tests de vulnérabilité, tests intrusifs, ingénierie sociale, etc..). Il faut savoir que compte tenu du temps requis pour approfondir le sujet, ce type d’audit coûte généralement autant voire plus cher que l’audit global. Enfin, et en fonction toujours du type d’activité, l’entreprise peut effectuer un audit applicatif de ses programmes sensibles, en particulier ceux qui sont accessibles sur Internet.
Le tableau ci-dessous récapitule les différents
types d’audit :
|
![]() |