Audit de sécurité : 5 éléments clés à connaître

Mis à jour le
26.10.2021

L’audit de la sécurité vise à s’assurer de l’efficacité des mesures de sécurité en place dans une entreprise. Il permet de constater les écarts entre les mesures appliquées et celles normalement requises pour une bonne prise en charge des risques de l’organisation en matière de sécurité de l'information et de formuler, le cas échéant, des recommandations en vue de corriger les écarts repérés. L’audit est réalisé par une personne ou une équipe compétente et indépendante des opérations et activités de l’entreprise auditée. L’indépendance assure en fait la conduite des travaux de manière professionnelle et complètement objective. Avant de confier votre audit à un intervenant, il est toujours préférable de vérifier les certifications de la personne. Vérifier si les certificats qu’il a sont appropriés pour réaliser les travaux en audit. Il existe minimum 5 clés à connaître absolument quand on parle d’audit de sécurité.

Les référentiels d’audit

L’intervenant ou auditeur se fonde en général sur une démarche structurée pour faire son travail. À cet égard, l’utilisation d’un référentiel d’audit est recommandée. Un référentiel d’audit est un ensemble de règles codifiées, des procédures ou des bonnes pratiques adoptées à l'international que les auditeurs utilisent pour bien faire leur travail et formuler leurs recommandations. Le référentiel permet donc à l'auditeur de mieux ancrer ses recommandations et d’en renforcer la pertinence.

Le référentiel prend en compte tous les domaines susceptibles de faire l’objet, en partie ou en globalité, d’un audit de la sécurité. En matière de sécurité de l’information, plusieurs référentiels peuvent être utilisés. On peut citer notamment COBIT, les GTAG et ISO 27002.

 

COBIT

COBIT le référentiel élaboré par l’ISACA. L’ISACA est un organisme à but non lucratif spécialisé dans la gouvernance et la sécurité de l’information. Leur référentiel propose l’application d’un cadre intégrant toutes les connaissances en gouvernance de la sécurité de l’information. Il permet aussi à l'organisation de l'utiliser comme cadre unique et complet.

 

GTAG

Les GTAG (Global Technology Audit Guides) sont une série de guides que l’institut des auditeurs a développé pour les personnels de gestion et les auditeurs internes. Ce sont des outils qui peuvent les informer sur les différents risques liés à la technologie et sur les pratiques recommandées.

Chaque guide traite d’un thème qui a trait à la gestion, au contrôle et à la sécurité des systèmes d’information.

 

ISO 27002

Cette norme est de la même famille que les normes de la famille ISO 2700X qui promeuvent les meilleures pratiques de gestion de la sécurité de l’information. La norme ISO 27002 met à disposition une série de contrôles qui tiennent en compte des risques de sécurité de l’information sur le plan organisationnel.

 

 

Comment faire un audit sécurité de qualité?

Planification

Planifier revient juste à élaborer une stratégie générale de réalisation de l’audit. Les objectifs de la planification sont :

-          Obtenir une base pour formuler une opinion, laquelle devra se fonder sur des éléments probants, suffisants et pertinents pour s’assurer de l’absence d’écarts importants entre les pratiques appliquées dans l’organisme et ce que prévoient la réglementation

-          Fixer les rôles et responsabilités des parties prenantes à l’exercice.

-          Prendre connaissance de la mission et des processus de l’organisme à auditer.

-          S’informer des réglementations régissant l’organisation ou l’unité sur laquelle porte l’audit.

-          Acquérir une bonne connaissance des lieux visés par l’audit. L’auditeur documenter l’environnement informatique de l’organisme, si nécessaire, et les aspects de gouvernance qui s’y appliquent, c’est-à-dire la mission, les objectifs, la vision, etc. ;

-          Mieux comprendre la structure organisationnelle de l’entreprise. L’auditeur doit dans certains cas se renseigner sur la formation et l’expérience du personnel a qui sont confiées les tâches liées à la sécurité

-          Mettre en place une stratégie de coordination d’audit

-          Noter les contraintes liées à l’audit. Par exemple, prévoir la non-disponibilité de certaines personnes et tenir compte des ressources (humaines, matérielles, etc.) nécessaires au succès du mandat d’audit ;

-          Préparer le programme d’audit. C’est le principal document réalisé au cours de la planification. Il contient toutes les étapes clés de la réalisation de l’audit, les objectifs, les points de contrôle qui doivent être pris en considération, les tests et les ressources nécessaires.

Une évaluation des risques peut être réalisée à la planification. C’est pour donner la priorité aux efforts déployés pour assurer la gestion du personnel disponible. Dans le cas où l'entreprise a déjà fait une évaluation des risques, l’auditeur pourrait s’en servir pendant son audit.

 

Réalisation de l’audit

L’étape de réalisation de l’audit est celle au cours de laquelle les travaux de terrain sont menés. La mise en œuvre de l’audit peut être faite par des outils de collecte d’information. La réalisation doit tenir compte de la portée de l’audit

 

Rapport

Les éléments d’un rapport d’audit doivent nécessairement être appuyés par des preuves consignées dans le dossier d’audit. Le rapport d’audit constitue le produit fini de l’exercice. Il reprend les différentes étapes du travail effectué, lève le voile sur les écarts et fait des recommandations. Le rapport doit être minutieusement préparé, avec grande rigueur, parce qu’elle servira de base à la prise de décisions pour la correction des écarts constatés.

 

Suivi des recommandations

Le suivi des recommandations permet à l’organisation de s’assurer que les recommandations de l’auditeur ont été prises en considération. Il appartient à l’entreprise l’audité de mettre en application les recommandations formulées et d’assurer le suivi de leur mise en œuvre. Cette mise en œuvre du suivi des recommandations s’accompagne généralement d’un plan d’action qui se traduit par un tableau comprenant les recommandations avec les dates arrêtées et les personnes responsables de leur mise en place.

 

Kostango est la solution digitale rêvée des DSI et Directions des Opérations ! C’est un espace de travail tout-en-un pour la gestion centralisée de Opérations. Finis les compromis pour coller à une solution standard ! Finie la myriade d’applications qui ne se parlent pas ! Plan d'actions, plan de progrès, remontée d'incidents, traitement des non-qualités, audits, gestion de la maintenance, de la production, de la supply chain, etc. Kostango intègre tous les cas d'applications Opérationnels dans un unique espace de travail collaboratif.

Vous disposez maintenant des éléments clés nécessaires pour réaliser votre premier audit de sécurité interne. N'oubliez pas que l'audit est un processus itératif et qu'il nécessite un examen et des améliorations continus pour les audits futurs, Pour vous aider, il existe une solution digitale, collaborative intuitive et efficace, kostango

 



Mis à jour le
26.10.2021

Boostez vos Opérations avec une plateforme unique

Renseignez votre email professionnel ci-dessous pour demander une démonstration de Kostango la plateforme low-code dédiée aux Opérations.

Merci! Votre demande à bien été prise en compte, nous reviendrons vers vous très vite.
Oops! Le format n'est pas valide. Merci de vérifier que vous avez bien renseigné votre adresse mail professionnelle et réessayez.