Contrôle
L’audit organisationnel passera en revue la manière dont la sécurité des systèmes d’information est prise en compte au sein de l’entreprise afin d’en évaluer la maturité.
Mûre ou pas mûre ? L’audit organisationnel vérifiera le traitement de l’information au sein de l’entreprise afin d’évaluer la maturité de son approche sécuritaire.
L’audit prendra en compte le secteur d’activité de l’entreprise, les règlements qui s’imposent a elle, et s’appuiera en complément sur des normes internationales telles ISO 27001 et ISO 27002 et des recommandations officielles telles celles de l’ANSSI.
Un tel audit fournira une vision globale sur les pratiques de sécurité de l’entreprise, au-delà des seuls aspects techniques. Il sera donc tout à fait complémentaire à l’audit d’architecture et aux tests d’intrusion.
Il pourra être réalisé lors de la mise en place de la fonction sécurité, et servira alors de feuille de route (par la pratique de gap analysis). Réalisé en cours de route il servira à s’assurer que l’entreprise ne régresse pas dans sa prise en compte de la SSI et à documenter des axes d’amélioration.
Quelques points évalués
lors d’un audit organisationnel
- Politique de sensibilisation des utilisateurs
- Charte de sécurité & politique de sécurité
- Politique de sauvegarde et de reprise d’activité
- Politique de mise à jour
- Tableaux de bord de sécurité
- Analyses de risque
- Politique de contrôle d’accès
La méthode reine : le benchmarking
La maturité organisationnelle vis-à-vis de la sécurité de l’information varie grandement selon les domaines d’activité. C’est pourquoi l’une des méthodes les plus utilisées pour s’évaluer demeure le benchmarking : l’étude de ses propres pratiques à l’aune de celles de ses concurrents évoluant dans le même secteur d’activité. Cela passe souvent par une tierce partie de confiance, capable de collecter et synthétiser les pratiques et l’organisation de la SSI au sein de différents acteurs d’une même industrie.
