 Améliorer la compétitivité de votre infrastructure et l'efficacité des méthodes de travail de votre entreprise n'est pas chose facile, et pourtant c'est un mal nécessaire. Pour vous permettre de mener à terme cette mission , nous pouvons vous accompagner en auditant votre entreprise. L'audit informatique est l'occasion de déceler et de corriger durablement les forces et faiblesses de votre infrasctructure informatique et de vos process métier. La vocation de l'audit est de vous guider dans l'analyse de votre efficacité, de mettre en lumière les points à améliorer et, bien entendu, de vous apporter les solutions appropriées et personnalisées pour parvenir à l'optimisation maximale de votre outil informatique. Au terme de l'audit, un rapport détaillé et budgétisé vous suggère, par ordre de priorité, les évolutions à prévoir pour maintenir votre infrasctructure en parfait état de marche.
|
|
10 conseils pour piloter son audit des systèmes d'information |
|
|
|
|
Le concept d'audit des systèmes d'information, apparu au cours des années 1970, a pour but d'évaluer la mise en conformité des processus et méthodes de l'entreprise avec un ensemble de règles en vigueur (fiscales, juridiques, technologiques...).
Cependant, l'apparition de la loi de sécurité financière dès le début des années 1990, ainsi que les nouvelles exigences réglementaires de type Sarbanes-Oxley (lire l'article sur le JDN du 22/02/2005), ont eu pour effet de généraliser et de systématiser la pratique de ces audits. Lorsque l'entreprise décide - ou est contrainte - de réaliser un audit, elle est alors amenée à se poser des questions sur la façon de le mener à bien et d'appréhender avec le plus d'objectivité possible les résultats des investigations opérées. Les conseils suivants - non exhaustifs - permettent de s'y préparer. |
|
Lire la suite...
|
|
|
Les tests d'intrusion (en anglais penetration tests, abrégés en pen tests) consiste à éprouver les moyens de protection d'un système d'information en essayant de s'introduire dans le système en situation réelle. On distingue généralement deux méthodes distinctes : - La méthode dite « boîte noire » (en anglais « black box ») consistant à essayer d'infiltrer le réseau sans aucune connaissance du système, afin de réaliser un test en situation réelle ;
- La méthode dite « boîte blanche » (en anglais « white box ») consistant à tenter de s'introduire dans le système en ayant connaissance de l'ensemble du système, afin d'éprouver au maximum la sécurité du réseau.
Une telle démarche doit nécessairement être réalisé avec l'accord (par écrit de préférence) du plus haut niveau de la hiérarchie de l'entreprise, dans la mesure où elle peut aboutir à des dégâts éventuels et étant donné que les méthodes mises en oeuvre sont interdites par la loi en l'absence de l'autorisation du propriétaire du système. Un test d'intrusion, lorsqu'il met en évidence une faille, est un bon moyen de sensibiliser les acteurs d'un projet. A contrario, il ne permet pas de garantir la sécurité du système, dans la mesure où des vulnérabilités peuvent avoir échappé aux testeurs. Les audits de sécurité permettent d'obtenir un bien meilleur niveau de confiance dans la sécurité d'un système étant donné qu'ils prennent en compte des aspects organisationnels et humains et que la sécurité est analysée de l'intérieur. |
|
|
Accueil 
Audit
