Audit ou test d'intrusion ? 

L'audit de sécurité ne doit pas être confondu avec les tests d'intrusion. Un audit se fait à livres ouverts, ou en boîte blanche. Les auditeurs peuvent poser toutes les questions qu'ils souhaitent, et ont accès à toutes les informations qu'ils jugent nécessaires à la réalisation de leur mission (sous réserve de ne pas déborder du périmètre de l'audit).

Le contenu d'un audit de sécurité est très variable :

• audit de l'organisation de la sécurité,
• audit global d'un réseau ou d'un système informatique,
• audit d'un système,
• audit d'une architecture réseau,
• audit d'une application ou architecture applicative,
• audit des configurations de systèmes ou éléments de communication,
• etc.

Lorsqu'il existe un référentiel de sécurité, ou des contraintes de sécurité s'appliquant au système analysé (quel qu'il soit), l'audit permet de vérifier si les contraintes sont respectées et de mesurer l'écart entre l'existant et ce qui devrait être. L'audit permet aussi de relever les éventuelles faiblesses ou vulnérabilités dans le système analysé.

Il s'agit d'un état des lieux, qui peut être réalisé sur un système en production mais qu'il est préférable d'exécuter

• en phase de recette,
• en préalable à la mise en production, ou
• à des étapes clé du développement/déploiement d'un système.

Les collaborateurs de B&A Consultants réalisent tout au long de l'année de nombreux audits de sécurité. Nous apportons à nos clients plusieurs dizaines d'années cumulées d'expérience en ce domaine.