Qu’est ce qu’un Audit Organisationnel?
Un Audit Organisationnel permet de mesurer la maturité des éléments traitant l’information vis-à-vis de la sécurité de celle-ci. L’audit se fait par rapport aux référentiels choisis selon les besoins de ou généralement à l’aide des normes ISO 27001 et 27002 et les bonnes pratiques et des recommandations de différents organismes internationaux.
Le but d’un Audit Organisationnel est de mettre en évidence les axes d’amélioration de l’organisation autour de la sécurité afin de protéger l’intégrité, la confidentialité et la disponibilité des informations et services traités par le système d’information.
A l’inverse des audits purement techniques, un audit organisationnel permet de prendre de la hauteur en termes de gestion de la sécurité et d’évaluer les mesures de sécurité mises en place dans l’entreprise. Ce type d’audit s’adresse aux organismes qui cherchent à faire évoluer leur SI dans une démarche d’amélioration continue (plus connue sous le sigle PDCA) et il est conseillé notamment pour savoir si les rôles et responsabilités sont bien définis et compris par les différents intervenants, que ce soit pour le bon fonctionnement normal du SI, ou en cas de réponse à un incident, de sécurité ou non, et en cas de déclanchement de procédure de continuité d’activité si jamais ça se présente.
Démarche
L’audit commence généralement par une réunion d’ouverture, comme tout autre audit, lors duquel il y a présentation de ce qui sera réalisé et les résultats attendus. Par la suite, une étude documentaire est réalisée pour évaluer les procédures existantes ainsi qu’éventuellement déceler les éventuelles failles.
Suite à cette prise de connaissance documentaire, des entretiens avec les personnes concernées permettent d’évaluer la maitrise de ces procédures et leur respect. Les entretiens portent autant sur les questions relatives à la sécurité en termes techniques mais aussi fonctionnelle et physique. À l’issue de l’audit, PRO IT Consulting délivre un rapport retraçant les constats d’audit et ainsi que des recommandations d’amélioration adaptées aux différentes contraintes de l’organisation.