12
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
3- Audit organisationnel et physique a. Objectifs Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de l’organisme cible, à auditer. Nous nous intéressons donc aux aspects de gestion et d’organisation de la sécurité, sur les plans organisationnels, humains et physiques. L’objectif visé par cette étape est donc d’avoir une vue globale de l´état de sécurité du système d´information et d´identifier les risques potentiels sur le plan organisationnel. b. Déroulement Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche méthodologique qui s’appuie sur « une batterie de questions ». Ce questionnaire préétabli devra tenir compte et s’adapter aux réalités de l’organisme à auditer. A l’issu de ce questionnaire, et suivant une métrique, l’auditeur est en mesure d’évaluer les failles et d’apprécier le niveau de maturité en termes de sécurité de l’organisme, ainsi que la conformité de cet organisme par rapport à la norme référentielle de l’audit. 4- Audit technique a. Objectifs Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit organisationnel. L’audit technique est réalisé suivant une approche méthodique allant de la découverte et la reconnaissance du réseau audité jusqu’au sondage des services réseaux actifs et vulnérables. Cette analyse devra faire apparaître les failles et les risques, les conséquences d’intrusions ou de manipulations illicites de données. Au cours de cette phase, l’auditeur pourra également apprécier l’écart avec les réponses obtenues lors des entretiens. Il testera aussi la robustesse de la sécurité du système d’information et sa capacité à préserver les aspects de confidentialité, d’intégrité, de disponibilité et d’autorisation. Cependant, l’auditeur doit veiller à ce que les tests réalisés ne mettent pas en cause la continuité de service du système audité. b. Déroulement Vu les objectifs escomptés lors de cette étape, leurs aboutissements ne sont possibles que par l’utilisation de différents outils. Chaque outil commercial qui devra être utilisé, doit bénéficier d’une licence d’utilisation en bonne et due forme.