Audit de securité sur la base de L'ISO/IEC 17799


Il s'agit d'une prestation permettant de réaliser un état des lieux concernant la sécurité des systèmes d'information en quatre étapes successives pour :

o S'attacher à définir les aspects organisationnels, humains et juridiques de la sécurité informatique en partant du postulat que beaucoup de systèmes d'information n'ayant pas été conçus pour être sécurisés, la mise en oeuvre de moyens techniques de protection a un impact limité et doit être soutenue par une organisation appropriée et des procédures,.

o Fixer des règles simples et cohérentes pour éliminer ou réduire les vulnérabilités de chaque élément composant les ressources informatiques,

o Définir un cadre souple permettant de tenir compte des évolutions à caractère interne ou externe. La sécurité informatique doit être " proactive " et anticiper les évolutions. La démarche simplement " réactive ", qui constate les faiblesses et cherche à parer au plus pressé, est plus que risquée dans un domaine où les évolutions sont extrêmement rapides. Il est à noter que les risques ne sont pas uniquement d'ordre technique mais également juridique et social.

L'utilisation de la norme ISO 17799 permet d'inventorier les forces et les faiblesses des systèmes d'information à travers 127 facteurs de sécurité définis et inspectés à l'aide de questionnaires couvrant les dix thèmes suivants :

· La politique de sécurité.
· Organisation de la sécurité.
· Classification et contrôle des actifs.
· Sécurité des ressources humaines.
· Sécurité physique et sécurité de l'environnement.
· Gestion de l'exploitation, des communications et des réseaux.
· Contrôle des accès logiques.
· Développement et maintenance des systèmes.
· Gestion de la continuité de l'activité.
· Conformité.