Audit du Système d’Information

 

L’audit des systèmes d’information vous permet d’avoir une vue extérieure de vos systèmes et procédures ; c’est le préalable nécessaire à toute évolution numérique, à toute réorganisation des systèmes.

Nous vous proposons plusieurs types d’Audits qui dépendent de vos besoins et des nécessités auxquelles vous devez faire face. Les consultants qui interviennent sur nos missions sont tous certifiés IEC/ISO 27001, « Technologies de l’information – Techniques de sécurité – Systèmes de gestion de sécurité de l’information – Exigences ».

L’audit EAGLE

C’est un audit simple, rapide, qui permet d’avoir une vue synthétique de votre système d’information et des procédures qui lui sont liées. C’est un audit parfait pour qui veut avoir une vue des chantiers qui attendent l’organisation, entreprise ou collectivité. Cet audit permet également de mettre en place des procédures simples de sécurité.

Il est parfaitement adapté aux entreprises de taille moyenne ainsi qu’aux entreprises de très petites tailles qui n’ont jamais réalisé d’audit de leurs systèmes d’information. Sa durée est en général d’une semaine par établissement.

Les livrables sont : Rapport d’audit et proposition de Plan de Traitement des Risques.

L’audit EAGLE est une exclusivité d’Integr’Action Conseil

Plus d’informations sur l’audit EAGLE ici.

Audit des systèmes Laurent Jaunaux sas
pdca Laurent Jaunaux

L’audit EBIOS RM

Cette méthodologie d’audit a été élaborée et publiée en 2018 par Club EBIOS et l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). C’est une méthodologie qui permet à l’entreprise d’identifier :

  • Les valeurs métiers de l’entreprise, ce qu’elle doit protéger à tout prix.
  • Les organisations ou personnes qui pourraient nuire à l’entreprise (attaquer les valeurs métiers) et les moyens qu’elles pourraient mettre en place pour arriver à leurs objectifs.

Cette méthodologie qui est orientée vers la protection contre des actes de piratages. Elle se déroule en 5 ateliers principaux et nécessite une disponibilité et un engagement réel de la direction de l’entreprise.

Les livrables sont : Rapport d’Audit, Plan de Traitement des Risques et Conclusions (document que vous pouvez transmettre à vos partenaires commerciaux).

L’audit EBIOS 2010

C’est un audit complet qui peut s’étaler sur plusieurs semaines ; il se déroule en 5 étapes et peut être dédié à un établissement, une filiale, une activité ou à un produit en particulier.

Cette méthodologie prend en compte l’ensemble des risques du système d’information ; qu’il s’agisse des risques naturels et environnementaux, managériaux, organisationnels ou intentionnels (piratage, malveillance…). Vous définissez le contexte et les biens essentiels de votre entreprise à protéger, identifiez les menaces et les événements redoutés, vous classez les risques selon leur vraisemblance et leur criticité, vous élaborez un Plan de Traitement des Risques.

Cette méthodologie est également connue et utilisée par la NSA sous le nom de OPSEC.

C’est l’audit le plus complet qui nécessite généralement plusieurs semaines de présence sur site pour pouvoir le mener à bien.

Les livrables sont le rapport d’audit, le Plan de Traitement des Risques ainsi que des Conclusions d’Audit que vous pourrez transmettre à vos partenaires commerciaux.

Audit des systèmes Laurent Jaunaux sas
pdca Laurent Jaunaux

L’audit de certification, la mise en place d’un Système de Management de la Sécurité de l’Information ou mise en place de Politique de Sécurité des Systèmes d’Information

C’est un audit complet, réalisé sur plusieurs mois voire sur plusieures années selon le périmètre défini par votre direction.

Il concerne tous les points de contrôles des ISO 27001 et 27002. L’organisme certificateur est PECB. Néanmoins, la certification n’est pas nécessaire dans la mise en place des recommandations ISO 27002 dans le cadre de la mise en place d’une politique de sécurité du système d’information. La différence entre l’audit de certification et la mise en place d’une PSSI consiste en la mise en place de procédures d’amélioration continue (plan, do, check, act) et du système d’information. Notre méthode d’audit est celle préconisée par l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI), à savoir EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité.

Cet audit rassurera vos investisseurs et actionnaires. Dans le cadre de projets d’envergure, nous travaillons avec un autre organisme lui même certifié ISO 27001 basé en France.