Audit d’architecture et Audit organisationnel

6 octobre 2018

Audit d’architecture

L’audit d’architecture s’intéresse au SI dans son ensemble et cherche à valider la pertinence des choix technologiques et le respect des bonnes pratiques de sécurité

De tous les audits techniques, l’audit d’architecture est peut-être celui au périmètre le plus large. Il s’agit en fait d’un audit macroscopique ! Selon le périmètre, ce type d’audit exigera plus de temps et de ressources que les autres. Son objectif est de s’assurer que le Système d’Information (sa topologie, son organisation, ses priorités) est conforme aux exigences métiers, aux divers règlements qui s’y appliquent et aux bonnes pratiques de sécurité. L’audit d’architecture évaluera également les choix technologiques opérés par l’IT et la SSI, leur pertinence ainsi que la qualité de leur implémentation (et accessoirement leur bonne configuration, voir encadré)

Le choix du prestataire

Si dans le cadre du test d’intrusion l’entreprise suit souvent un auditeur individuel, l’audit d’architecture est une affaire d’équipe et de compétences multiples : un seul auditeur sera difficilement expert de l’ensemble des bonnes pratiques et des solutions déployées au sein de l’entreprise. En outre le prestataire devra disposer d’un volet de certifications éditeurs étendu. Ces contraintes font qu’à compétences égales, plutôt qu’un pure player du conseil il sera possible d’envisager un intégrateur spécialiste de la sécurité capable d’offrir du conseil.

L’audit de configuration

L’audit de configuration est une prestation parfois distincte mais complémentaire à l’audit d’architecture. Plus ciblé, celui-ci porte sur la pertinence des configurations matérielles et logicielles du SI. Celles-ci seront étudiées sur la base des guides d’installation officiels, parfois des codes sources et surtout des meilleures pratiques de l’industrie. Là aussi, l’objectif est d’identifier les mauvaises pratiques (les configurations par défaut notamment) et de proposer un plan de correction.

Audit organisationnel

L’audit organisationnel passera en revue la manière dont la sécurité des systèmes d’information est prise en compte au sein de l’entreprise afin d’en évaluer la maturité

Mûre ou pas mûre ? L’audit organisationnel vérifiera le traitement de l’information au sein de l’entreprise afin d’évaluer la maturité de son approche sécuritaire.

L’audit prendra en compte le secteur d’activité de l’entreprise, les règlements qui s’imposent a elle, et s’appuiera en complément sur des normes internationales telles ISO 27001 et ISO 27002 et des recommandations officielles telles celles de l’ANSSI.

Un tel audit fournira une vision globale sur les pratiques de sécurité de l’entreprise, au-delà des seuls aspects techniques. Il sera donc tout à fait complémentaire à l’audit d’architecture et aux tests d’intrusion.

Il pourra être réalisé lors de la mise en place de la fonction sécurité, et servira alors de feuille de route (par la pratique de gap analysis). Réalisé en cours de route il servira à s’assurer que l’entreprise ne régresse pas dans sa prise en compte de la SSI et à documenter des axes d’amélioration.

La méthode reine : le benchmarking

La maturité organisationnelle vis-à-vis de la sécurité de l’information varie grandement selon les domaines d’activité. C’est pourquoi l’une des méthodes les plus utilisées pour s’évaluer demeure le benchmarking : l’étude de ses propres pratiques à l’aune de celles de ses concurrents évoluant dans le même secteur d’activité. Cela passe souvent par une tierce partie de confiance, capable de collecter et synthétiser les pratiques et l’organisation de la SSI au sein de différents acteurs d’une même industrie. Un marché de services spécifiques commence d’ailleurs à se développer dans le domaine.