Un audit organisationnel de sécurité informatique permet de vous apporter une vue macro de la sécurité votre système d’information par rapport à l’état de l’art grâce à une revue complète des processus de votre entité.
L’objectif de l’audit est de s’assurer que les mesures de sécurité nécessaires ont été mises en place pour protéger vos biens ou informations essentiels.
Nous nous appuyons sur des référentiels et méthodologies permettant de mieux déceler les limites de votre organisation en vue de vous fournir des préconisations adaptées tout en gardant une approche risque :
- ISO/CEI 27002 :
- La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l’information, publiée conjointement en 2005 par l’Organisation internationale de normalisation ISO et la Commission Electrotechnique Internationale IEC, révisée en 2013, dont le titre en français est Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information. Elle fait partie de la suite ISO/CEI 27000.
- ITIL (Information Technology Infrastructure Library) :
- ITIL (pour « Information Technology Infrastructure Library », ou « Bibliothèque pour l’infrastructure des technologies de l’information » en français) est un ensemble d’ouvrages recensant les bonnes pratiques (« best practices ») du management du système d’information.
- EBIOS (Expression des besoins et identification des objectifs de sécurité) :
- La méthode EBIOS est une méthode d’évaluation des risques en informatique, développée en 1995 par la Direction centrale de la sécurité des systèmes d’information (DCSSI) et maintenue par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui lui a succédé en 2009. Elle a connu une évolution en 2010 puis a été renommée en EBIOS Risk Manager.
- MARION (méthode d’analyse de risques informatiques orientée par niveau) :
- La méthode d’analyse de risques informatiques orientée par niveau (Marion) est une méthode d’audit, proposée depuis 1983 par le CLUSIF, visant à évaluer le niveau de sécurité informatique d’une entreprise.