Pour mesurer le niveau de sécurité de son système d’informations, trouver les vulnérabilités existantes et diminuer ses risques, une entreprise doit mettre en œuvre un plan d’audits annuel et le suivre. Les objectifs de ce plan sont d’évaluer la robustesse d’un système d’information par rapport à un niveau d’attaque, et de sensibiliser les acteurs de l’entreprise : l’utilisateur final bien sûr, mais surtout le management, qui alloue les budgets au regard des risques pesant sur son entreprise. Le plan d’audit doit contenir au minimum et par ordre d’importance : un test d’intrusion externe, un test de social engineering, un test d’intrusion interne et un audit organisationnel. Par Jean-Paul VAURS – RSSI Groupe GFI Informatique et Dimitri DRUELLE – RSSI Opérationnel Groupe GFI Informatique, auditeur certifié CISSP et ISO 27001 Lead auditor par LSTI
