+(237) 243 202 086

Audit de sécurité organisationnelle

Image Audit de sécurité organisationnelle

Audit de Sécurité Organisationnel et techniques

Un système d’information opérationnel doit fournir à ses utilisateurs un niveau de sécurité conforme à ses spécifications initiales. Elite Consulting analyse les écarts entre les objectifs initiaux et la réalité au cours d’audits techniques et/ou organisationnels.

  • Audit organisationnel

Vérification de la conformité et de la pertinence des mesures déployées par rapport aux politiques de sécurité de l’organisme.

  • Audit d’architecture

Analyse des points forts et des faiblesses de l’architecture d’un système d’information (analyse des flux, analyse des choix et du positionnement des solutions utilisées, …).

  • Audit de configuration

Vérification de la mise en œuvre des bonnes pratiques de sécurité. Les audits de configuration peuvent s’effectuer sur tout type d’élément informatique (système, logiciels, …).

  • Audit de codes

Analyse de tout ou partie d’un code source afin de déceler des failles potentielles (conception, codage, qualité du code, …).

  • Audit intrusif

Recherche de vulnérabilités sur le système d’information audité et analyse des impacts. L’audit peut être réalisé depuis l’extérieur du système ou depuis un point identifié à l’intérieur du réseau

Un audit de sécurité informatique repose sur le savoir-faire d'un expert en sécurité afin d'analyser et de vérifier que chaque règle associée à la politique de sécurité de l'entreprise est correctement appliquée (réseaux, architecture, systèmes, cryptographie, etc.). Nos consultants mènent des démarches d’audits techniques et organisationnels au regard de leurs référentiels internes et de l’état de l’art. Notre mission est d'aider nos clients à appréhender aisément les notions de sécurité tout en leur permettant d'obtenir une image fidèle et représentative de leur niveau de sécurité actuel. Cette prestation cadre essentiellement les procédures mises en place en interne en ce qui concerne la sécurité du système d'information. Menée essentiellement autour d'un axe organisationnel au travers d'entretiens des intervenants gérant le SI mais également axé sur la relecture des configurations des éléments clé des applicatifs et du matériel réseau, l'audit de sécurité peut aussi être de nature technique sur un élément ou un périmètre spécifique. La phase d'audit, effectuée en intervention interne, permet de définir les faiblesses, vulnérabilités et paramétrage incorrects rendant un système d'information faillible pour des personnes malintentionnées.

Audit de sécurité générique et Audit du management de la sécurité

Nous proposons une gamme d’audits adaptés au niveau de maturité du périmètre étudié. La flexibilité et l’expérience projets de nos consultants en sécurité informatique garantissent une prestation de qualité, notre équipe d'auditeurs s’adapte à de nombreuses typologies de demandes quels que soient vos besoins :

  • Audit générique de sécurité informatique: cette pratique permet d'obtenir une cartographie précise et exhaustive de la situation actuelle, et de pouvoir faire une analyse d'écart avec le niveau de sécurité requis. Au travers d'un état des lieux général de la sécurité, nos consultants sont en mesure de mener une évaluation globale et rapide de la stratégie de sécurité et de sa mise en application opérationnelle.
  • Audit du management de la sécurité: cet audit est une étude concentrée sur la gestion de la sécurité dans une démarche pragmatique. Cette méthode s’inspire de la série normative ISO/IEC 27000, depuis la ‘gestion du risque’ jusqu’à ‘la mise en conformité réglementaire’. Nos consultant auditent chaque élément présent dans le périmètre d'étude, et vérifie l'adéquation avec le respect de la norme, en vue d'obtenir une vision précise et des mesure correctives ou compensatoire à appliquer.

La démarche pour mener à bien des audits en sécurité prend en considération les éléments suivants:

  • Le ou les référentiels de sécurité propres à l'organisation auditée.
  • Les meilleures pratiques de sécurité des systèmes, tant techniques qu'organisationnelles.
  • Les normes ISO/IEC 27001 et ISO/IEC 27002 proposées comme référentiels et adaptées au contexte client afin de conserver le pragmatisme nécessaire à son besoin.
  • Les standards de sécurité applicables au contexte donné (par exemple, PCI-DSS, OWASP, COBIT 5, etc.).

En renfort d’une démarche interne, ces analyses en profondeur participent au progrès de la sécurité et à une meilleure compréhension des enjeux par les différents acteurs via le renforcement et la capitalisation de la collecte d’information permettant de se concentrer sur l’analyse des résultats.