L’audit de sécurité d’un système d’information (SI) est une vue à un instant i de tout ou partie du SI, permettant de comparer l’état du SI à un référentiel.
L’audit peut être effectué dans différents buts :
– réagir à une attaque,
– se faire une bonne idée du niveau de sécurité du SI,
– tester la mise en place effective de la Politique de Sécurité du Système d’Information PSSI,
– tester un nouvel équipement,
– évaluer l’évolution de la sécurité (implique un audit périodique).

Dans tous les cas, il a pour but de vérifier la sécurité.
L’audit ne doit pas être confondu avec l’analyse de risques. Il ne permet que de trouver les vulnérabilités, mais pas de déterminer si celles-ci sont tolérables. Au contraire, l’analyse de risque permet de dire quel risque sont pris en compte, ou acceptés pour le SI. L’auditeur (le prestataire) dresse donc des recommandations, que l’audité (le client) suivra, ou ne suivra pas. Le client déterminera s’il suivra les recommandations ou non, en se référant à la politique de sécurité.
Cf wiki.

Quelques liens sur le sujet :

– http://www.ssi.gouv.fr/fr/bonnes-pratiques/PSSI

La politique de sécurité informatique doit couvrir les domaines suivants :

– sensibilisation et formation des utilisateurs aux problèmes de sécurité,
– sécurité logique : ex contrôle des accés
– sécurité des télécommunications : ex pare-feu
– sécurité physique : ex ondulateur
– stratégie de sauvegarde planifiée
– management des mises à jour
– plan de reprise après un sinistre
– documentation à jour

La politique de sécurité du système d’information PSSI passe par quatre grandes étapes :

– Etape 1 : identifier les besoins en terme de sécurité, les risques informatiques pesant sur l’entreprise et leurs éventuelles conséquences,
– Etape 2 : élaborer des règles et procédures à mettre en œuvre dans les différents services pour les risques identifiés,
– Etape 3 : surveiller et détecter les vulnérabilités, se tenir informé des failles sur les applications et matériels utilisés,
– Etape 4 : définir les actions à entreprendre et les personnes à contacter en cas de détection d’une menace.

La pratique de l’audit présente plusieurs étapes :
– Interviews,
– Tests d’intrusion,
– Relevés de configuration,
– Audit de code,
– Fuzzing.