Ce type d’audit a pour objectif d’identifier les vulnérabilités liées aux différents processus d’exploitation du système et au management de la sécurité.
Ces audits sont réalisés par rapport au référentiel interne de l’entreprise audité (s’il existe) ou par rapport à d’autres référentiels (par exemple la norme internationale ISO / IEC 27001 ou d’autres normes adaptées au métier de l’entreprise).
Ce type d’audit peut couvrir les aspects suivants :
Procédures d’administration, de surveillance et d’exploitation
Les points suivants peuvent être abordés :
- Politique de sécurité
- Organisation de la sécurité
- Charte de sécurité
- Politique de sauvegarde et de restauration
- Procédure de mise à jour
- Gestion des incidents
- Indicateur et tableau de bord
- Sensibilisation et formation du personnel
- Moyen de contrôle d’accès logique
Audit de la sécurité physique de l’organisme
Les points suivants peuvent être abordés :
- Moyen de contrôle d’accès physique : moyens humains, moyens techniques (badges, etc…)
- Moyen de détection d’intrusions (alarmes, caméras, etc…)
- Système de détection et d’extinction d’incidents environnementaux : incendie, inondations, secours énergétiques…
- Moyen d’accès physiques aux serveurs et postes de travail fixes et mobiles
Audit du plan de continuité d’activité d’un organisme
Il s’agit ici d’évaluer le niveau de maîtrise et d’implémentation du plan de continuité d’activités de l’entreprise. Cet audit aborde les aspects « plan de sauvegarde », plan de gestion de crise, procédures techniques de reprise.
L’ensemble des procédures, des organisations et des moyens techniques concourant à la sécurité du système d’information, est audité.
L’audit est structuré sur la base d’entretiens afin de déterminer objectivement les écarts par rapport au référentiel (méthodologique, technique, réglementaire voire législatif) de l’organisation.
Ces audits organisationnels aboutissent à la rédaction d’un rapport d’audit présentant les résultats de l’audit, les vulnérabilités techniques et organisationnelles identifiées et les actions hiérarchisées à mettre en place.