Sécurité : Au-delà des solutions logicielles, d’autres outils permettent de s’assurer du niveau de sécurité des systèmes d’information. Grâce à l’audit et l’analyse, en faisant appel à des experts, la DSI peut véritablement garantir de l’étanchéité du systèmes d’information (SI).
Car l’audit de sécurité et l’analyse de sécurité sont deux outils indispensables et complémentaires pour sécuriser le SI, au-delà des routines quotidiennes.
Audit de sécurité
Réagir après une attaque, apprécier le niveau de sécurité du SI, tester la cohérence d’un nouvel équipement dans le SI : autant de scénarios qui peuvent exiger de mener un audit de sécurité. L’audit de sécurité du système d’information permet d’en obtenir une vision à un moment précis, et d’en comparer l’état au regard d’un référentiel (politique de sécurité de l’entreprise, règles et textes de loi) choisi en amont.
Il faut par ailleurs noter que des référentiels de sécurité génériques existent et permettent de se mesurer au standard de l’industrie. Le référentiel général de sécurité de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), et le COBIT (Control Objectives for Information and Technology) de l’ISACA (Information Systems Audit and Control Association) sont deux bons exemples en la matière.
L’audit va permettre de mentionner les points forts, mais surtout les faiblesses et les vulnérabilités. Mais au-delà, l’auditeur va formuler dans son rapport des recommandations pour améliorer l’existant. La DSI se devra ensuite de répondre à ces recommandations, via une analyse de risques.
Analyse de risques
L’analyse de risques permet quant à elle de déterminer si les vulnérabilités détectées par l’audit de sécurité sont tolérables par l’entreprise. Combler une vulnérabilité qui ne touche pas des données critiques par exemple, peut être vue comme non prioritaire au regard d’autres chantiers en cours, plus cruciaux.
Pour réaliser cette analyse, la DSI devra là aussi se référer à la politique de sécurité de l’entreprise, qui doit valider les orientations choisies.
Plusieurs méthodes permettent de réaliser des analyses de risques : EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), MARION (Méthode d’Analyse de Risques Informatiques optimisée par Niveau), MEHARI (Méthode Harmonisée d’Analyse des Risques) sont trois des méthodes les plus connues.
Source: http://www.zdnet.fr/actualites/securite-informatique-les-fondamentaux-de-l-audit-et-de-l-analyse-39832236.htm