Membre
Services
Sécurité
Open source
Sécurité
Services
Linux
1614483 visiteurs
8 visiteurs en ligne
Notre site
info@griessenconsulting.ch
ch.linkedin.com/in/thierrygriessenCISA
Neuchâtel, Suisse
Mes coordonées
Crée votre Code
http://fr.wikipedia.org/wiki/Audit_informatique
L'audit informatique (en anglais Information technology audit ou IT audit) a pour objectif de s'assurer que les activités informatiques d'une entreprise ou d'une administration se déroulent conformément aux règles et aux usages professionnels, appelés de manière traditionnelle les bonnes pratiques. On va pour cela s'intéresser aux différents processus informatiques comme la fonction informatique, les études informatiques, les projets informatiques, l'exploitation, la sécurité informatique,
L'audit informatique consiste à évaluer le niveau de maturité de l'informatique de l'entreprise.
On peut vouloir aller plus loin et s'intéresser à l'évaluation des systèmes d'information et non plus seulement à l'informatique. C'est le domaine de l'audit des applications. Ainsi dans le cas d'une application comptable on va s'attacher à vérifier l'intégrité des données comptables, la disponibilité de l'application, s'assurer qu'elle répond aux besoins des comptables et que le système comptable s'interface efficacement avec les autres systèmes de gestion de l'entreprise.
Le travail de l'auditeur consiste à observer le domaine audité, à analyser les faits observés, à écouter les explications des audités et, sur la base de ces constats, de porter un jugement sur le domaine fonctionnel audité en se basant sur des référentiels largement reconnus comme :
Voir les sites de l'ISACA.org et de l'AFAI.org
Mais on peut aussi utiliser d'autres référentiels comme :
L'audit de la sécurité informatique a pour but de donner au management une assurance raisonnable du niveau de risque de l'entreprise lié à des défauts de sécurité informatique. En effet, l'observation montre que l'informatique représente souvent un niveau élevé pour risque élevé de l'entreprise. On constate actuellement une augmentation de ces risques liée au développement d'Internet. Ils sont liés à la conjonction de quatre notions fondamentales :
Pour effectuer un audit de sécurité informatique il est nécessaire de se baser sur quelques objectifs de contrôle. Les plus courants sont :
Il existe de nombreux autres objectifs de contrôle concernant l'audit de la sécurité informatique qui sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.
Ces différents objectifs de contrôle correspondent aux processus de CobiT DS 5 : "Assurer la sécurité des systèmes" et PO 9 "Evaluer et gérer les risques". Il existe un référentiel spécifique à la sécurité informatique : ISO 27002. C'est un code des bonnes pratiques concernant le management de la sécurité des systèmes d'information. Il est complété par la norme ISO 27001 concernant la mise en place d'un Système de Management de la sécurité de l'Information.