Diagnostic ou Audit ? Alors que l’audit va viser à établir la conformité d’un système à un référentiel, le diagnostic va plutôt chercher à adapter l’organisation à des enjeux.
Nous pourrons parfois utiliser les 2 termes avec pour finalité d’obtenir un système informatique fiable, sécurisé et adapté aux enjeux de votre organisation.
Avant l’audit
Avant l’audit, une phase de qualification sera nécessaire, souvent par téléphone ou rendez-vous physique de 1h à 2h environ afin définir l’étendu du périmètre à auditer, les objectifs de l’audit, les principaux interlocuteurs, la complexité et la maturité cyber du périmètre à auditer.
Établissement d’une convention de service
Une convention de service sera signée entre SOOIZ et le commanditaire afin de préciser et s’accorder sur les modalités de la prestation, les responsabilités, la confidentialité des informations.
Comment se passe l’audit ?
Un planning de l’audit sera réalisé en amont et proposé, la prestation est réalisée principalement sous forme d’entretiens, avec les différentes parties intéressées.
En fonction de votre organisation, et de la phase précédente de qualification, les entretiens seront réalisés avec par exemple la Direction Générale, Administrative et Financière, service ou prestataire informatique, et des directions ou responsables métiers.
Les éventuelles documentations existantes seront demandées et utilisées pour l’audit.
La réalisation du rapport
Le rapport d’audit sera réalisé le plus souvent hors site.
Le rapport mentionnera :
– le contexte, les enjeux de l’audit,
– analyse de la menace,
– une cartographie globale du système cible,
– la liste des personnes interviewées,
– les éventuels documents analysés dans le cadre de la prestation,
– les écarts par rapport aux bonnes pratiques ou au référentiel identifié en amont,
– la cartographie du système d’information,
– suivant le type d’audit : des indicateurs de maturité, les indicateurs de coût de la solution en place,
– une proposition de plan d’amélioration, priorisé, avec des notions budgétaires.
La clôture de l’audit
La clôture sera réalisée en 2 temps :
– Dans un premier temps, le rapport sera présenté par SOOIZ, en version brouillon. Le rapport sera ensuite ajusté en fonction de cet entretien.
– La livraison du rapport définitif, sous forme électronique, avec une présentation du rapport
Un procès verbal de destruction pourra être réalisé. Cela permet de garantir que SOOIZ ne conserve pas les données de votre organisation.
Pourquoi un audit ?
Pour savoir ou vous en êtes, pour détecter les failles, et pour définir un cap pour votre gestion du numérique.
Selon l’enquête annuelle réalisée par France Num en 2023 : « La proportion de TPE PME qui exprime des craintes relatives à la cybersécurité est de 48 % (+4 points par rapport à l’année dernière), soit une augmentation de +12 pts par rapport à 2020. ». Réaliser un audit permet de rationaliser cette crainte, et d’anticiper les principaux scénarios de risques.
Pourquoi en sous-traitance ?
Que vous soyez décideur, ou responsable d’un système informatique, bien souvent vous devez vous concentrer sur l’essentiel, les métiers de votre organisation. Dans ces situations il peut être difficile d’accorder suffisamment d’attention aux tâches de fond, jusqu’à ce que vous soyez confronté à un problème majeur impliquant de réagir.
Également, même si on a toutes les compétences requises en interne, ou via des prestataires informatiques, un regard extérieur sur votre organisation ainsi que sur les technologies en place permet d’aborder la problématique de manière différente, avec un œil neuf.
Pourquoi SOOIZ ?
En tant que société indépendante, qui ne propose que du service et du conseil, SOOIZ est à même de vous conseiller de manière complètement indépendante des technologies et prestataires.
Grâce à son expérience acquise auprès de dizaine de sociétés et collectivités de 10 à 1 000 utilisateurs informatique, SOOIZ est efficace dans ses missions et est en mesure de comparer votre niveau de sécurité par rapport à vos pairs, et grâce à son expérience en datacenter ISO 27001, SOOIZ vous accompagne dans une démarche d’amélioration continue, en phase avec vos enjeux.
Combien coûte un audit ?
Comme vous l’aurez imaginé, cela va dépendre de quelques facteurs abordés dans la première étape, à savoir la phase avant-vente.
Généralement, entre 2 et 4 jours de prestations permettent de répondre au besoin d’audit ou de diagnostic de maturité.
Ce que ne fait pas SOOIZ
Les audits techniques en profondeur, par exemple les audits de configuration technique, de respect de mise en place des guides technique de durcissement.
Les pentests, ou tests d’intrusion. Dans ce type d’audit, un expert cyber se place en position d’attaquant et tente de pénétrer votre système d’information.
En revanche, SOOIZ peut vous accompagner à sélectionner un prestataire pour réaliser ces audits, par exemple dans le cadre d‘une prestation de conseil.