3. Type d'audit
Il existe deux grandes catégories d'audits. La
première comporte les audits globaux d'entités durant lesquels
toutes les activités ayant trait aux systèmes d'informations sont
évalués. La seconde catégorie correspond aux audits
thématiques, ayant pour objectif la revue d'un thème informatique
au sein d'une entité (la gestion de projet, la sécurité
logique par exemple).
La norme ISO 9000 distingue :
Projet tutoré rédigés et
présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean
Huges
4
4
|
AUDIT DE SECURITE DU SYSTEME TELEPHONIQUE IP DE L'IUC
|
|
a. L'audit interne
L'audit Interne est une activité indépendante et
objective qui donne à une organisation une assurance sur le degré
de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur
ajoutée. Il aide cette organisation à atteindre ses objectifs en
évaluant, par une approche systématique et méthodique, ses
processus de management des risques, de contrôle, et de gouvernement
d'entreprise, et en faisant des propositions pour renforcer leur
efficacité. Du fait de la variété des domaines à
couvrir et des missions à conduire, l'audit interne doit disposer d'une
gamme de compétences toujours plus étendue. La formation
permanente constitue un facteur clé de performance au plan individuel et
collectif.
b.Audit externe
Il est réalisé par un personne externe a
l'entreprise qui travaille pas au sein de la structure mais a un statut
d'indépendant et travaille pour différentes entreprises. Il a
pour objectif d'étudier le système d'information de l'entreprise,
de déterminer les failles du système et de produire un rapport
à la fin de son étude pour répondre aux différents
vulnérabilités rencontrés et définir une approche
pour remédier aux problèmes
rencontrés.
c. Audit de sécurité organisationnel
L'objectif d'un audit organisationnel de
sécurité est d'établir un état des lieux complet et
objectif du niveau de sécurité de l'ensemble du système
d'information sur les plans organisationnels, procéduraux et
technologiques. Cette phase peut couvrir l'organisation générale
de la sécurité (réglementation, procédures,
personnel), la sécurité physique des locaux (lutte anti-incendie,
contrôle des accès, sauvegarde et archivage des documents),
l'exploitation et administration (sauvegarde et archivage des données,
continuité du service, journalisation ), les réseaux et
télécoms (matériel (routeurs, modems, autocommutateur..),
contrôle des accès logiques, lignes et transmission), les
systèmes (poste de travail, serveur, logiciels de base, solution
antivirale) et les applications (méthodes de développement,
procédures de tests et de maintenance,..). Au cours des réunions
effectuées au sein de l'organisme audité, l'auditeur
définit le périmètre de l'audit et les personnes
interviewées et planifie ses interventions. Pour mener à bien
cette phase, l'auditeur applique une méthodologie d'audit et d'analyse
de risques "formelle" (Marion, Méhari, Melisa, Ebios...) comme il peut
adapter ces méthodes selon les besoins de l'organisme ou suivre une
démarche propriétaire personnalisée et simplifiée.
L'évaluation du niveau de sécurité s'établit
à partir des entretiens avec les personnes interviewées et de
l'analyse des ressources critiques et des documents fournis. Les
vulnérabilités identifiées lors des
précédentes étapes seront rapprochées des menaces
pouvant survenir dans le contexte technique et fonctionnel, objet de l'audit.
Réduire les risques revient soit à agir sur les
vulnérabilités, soit essayer de réduire l'impact qu'aurait
l'exploitation d'une vulnérabilité par une menace
conformément à la formule :
Risque=Menace*Impact*Vulnérabilité.
Projet tutoré rédigés et
présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean
Huges
5
5
|
AUDIT DE SECURITE DU SYSTEME TELEPHONIQUE IP DE L'IUC
|
|
| 
