Audit

Il existe de nombreuses définitions de l’audit en fonction du contexte. Dans le cas des systèmes d’information, l’ANSSI le définit, au sein de son référentiels d’exigences, comme un processus systématique, indépendant et documenté en vue d’obtenir des preuves d’audit* et de les évaluer de manière objective pour déterminer dans quelles mesure les critères d’audit* sont satisfaits. Le référentiel d’exigences présente par ailleurs plusieurs types d’audit :

• L’audit d’architecture, consiste en la vérification de la conformité des pratiques de sécurité relatives au choix, au positionnement et à la mise en œuvre des dispositifs matériels et logiciels déployés dans un système d’information à l’état de l’art ainsi qu’aux exigences et règlements internes de l’audité. L’audit peut être étendu aux interconnexions avec des réseaux tiers, et notamment Internet.
• L’audit de configuration a pour vocation de vérifier la mise en œuvre de pratiques de sécurité conformes à l’état de l’art et aux exigences et règles internes de l’audité en matière de configuration des dispositifs matériels et logiciels déployés dans un système d’information. Ces dispositifs peuvent notamment être constitués des équipements réseau, des systèmes d'exploitation (de serveurs ou postes de travail), des applications ou des produits de sécurité.
• L’audit de code source, consiste en l’analyse de tout ou partie du code source ou des conditions de compilation d’une application dans le but d’y découvrir des vulnérabilités, liées à de mauvaises pratiques de programmation ou des erreurs de logique, qui pourraient avoir un impact en matière de sécurité.
• Audit organisationnel et physique : L’audit de l’organisation de la sécurité logique et physique vise à s’assurer que les politiques et procédures de sécurité définies par l’audité pour assurer le maintien en conditions opérationnelles et de sécurité d’une application ou de tout ou partie du système d’information sont conformes au besoin de sécurité de l’organisme audité, à l’état de l’art ou aux normes en vigueur ; elles complètent correctement les mesures techniques mises en place ; elles sont efficacement mises en pratique ; les aspects physiques de la sécurité de l’application ou du système d’information sont correctement couverts.

Voir Preuve d’audit, Critère d’audit.