L’objectif d’un audit organisationnel de sécurité est d’établir un état des lieux complet et objectif du niveau de sécurité de l’ensemble du système d’information sur les plans organisationnels, procéduraux et technologiques.
Cette phase peut couvrir :
- L’organisation générale de la sécurité : (réglementation, procédures, personnel)
- La sécurité physique des locaux (lutte anti-incendie, contrôle des accès, sauvegarde et archivage des documents)
- L’exploitation et administration (sauvegarde et archivage des données, continuité du service, journalisation )
- Les réseaux et télécoms (matériel (routeurs, modems, autocommutateur..)
- contrôle des accès logiques, lignes et transmission)
- les systèmes (poste de travail, serveur, logiciels de base, solution antivirale) et les applications (méthodes de développement, procédures de tests et de maintenance,..).
Au cours des réunions effectuées au sein de l’organisme audité, l’auditeur définit le périmètre de l´audit et les personnes interviewées et planifie ses interventions.
Pour mener à bien cette phase, l’auditeur applique une méthodologie d’audit et d’analyse de risques « formelle » (Marion, Mehari, Melisa, Ebios…) comme il peut adapter ces méthodes selon les besoins de l’organisme ou suivre une démarche propriétaire personnalisée et simplifiée.
L’évaluation du niveau de sécurité s’établit à partir des entretiens avec les personnes interviewées et de l’analyse des ressources critiques et des documents fournis.
Les vulnérabilités identifiées lors des précédentes étapes seront rapprochées des menaces pouvant survenir dans le contexte technique et fonctionnel, objet de l’audit. Réduire les risques revient soit à agir sur les vulnérabilités, soit essayer de réduire l’impact qu’aurait l’exploitation d’une vulnérabilité par une menace conformément à la formule : Risque = Menace * Impact * Vulnérabilité.
A l’issue de cette phase, l’auditeur propose les recommandations pour la mise en place des mesures organisationnelles et d’une politique sécuritaire adéquate, il peut également présenter une présentation de la synthèse de la mission avec pour objectif de sensibiliser sur les risques potentiels et les mesures à mettre en œuvre.