Audit de conformite est :

• un outil d’évaluation et de diagnostique de la conformité par rapport à un référentiel établi en matière de sécurité de l’information
• Permet de vérifier la mise en œuvre des pratiques de sécurité en les confrontant aux exigences de sécurité issues de ce référentiel et identifier les écarts présentant les vulnérabilités du système audité
• Permet de vérifier son alignement vis à-vis de règles internes ou externes, ou de contrôler autrui sur la prise en compte de vos règles

L’audit se déroule selon un plan du type découpé en trois parties : 

• Les activités de préparation précédant l’audit afin d’établir un ensemble de point de contrôle sur la base des référentiels techniques et réglementaires applicables dans le domaine d’activité du client et sur le périmètre de l’audit  
• Les activités effectuées pendant la visite du site audité (l’audit luimême) durant lequel nous analysons l’organisation et les pratiques de sécurité afin de récolter par le biais d’entretien et de constatations, les preuves nécessaires sur chacun des points de contrôle
•  Les activités effectuées postérieurement à l’audit, permettant de confronter dans un rapport les preuves récoltées avec les points de contrôle pour identifier les écarts mineurs ou majeurs vis-à-vis des exigences de sécurité issues de la conformité obligatoire.

 Un exemple des principaux référentiels : ISO 2700x, RGS, PSSIE, IGI 1300, Solvency II, Référentiel interne (Politique de sécurité, guide de développement sécurisé, etc.), clauses de sécurité contractuelles, Hébergement de données de santé, Référentiels et décret de la loi de programmation militaire, PCI-DSS, Guides de l’ANSSI, Plan Vigipirate, Plan d’action SSI santé (Instruction n°SG/DSSIS/2016/309 du 14 octobre 2016), ISO 15408 (Common Criteria), etc