Audit Organisationnel

Détermination de votre maturité SSI par le biais de référentiels ANSSI

Accueil » Audits de sécurité » Audit Organisationnel

Quel est l’objectif ?

Utilisation d’une méthode éprouvée et recommandée : Approche inspirée des méthodologies de l’ANSSI et de l’ISO 21827. À l’aide de questionnements pragmatiques, l’audit organisationnel a pour objectifs de déterminer rapidement les enjeux liés au système d’information de l’organisme, de mesurer l’écart entre ce qui devrait être fait et ce qui est fait, et d’expliquer les actions à mettre en œuvre pour gérer la SSI de manière adéquate.

Des plans d’actions clairs pour améliorer la sécurité de votre entreprise : Une fois ce niveau de maturité déterminé, l’objectif sera de proposer les démarches nécessaires pour atteindre le niveau « adéquat ». L’objectif de la démarche est de planifier une série d’actions permettant de faire évoluer progressivement la maturité effective jusqu’à la faire converger avec le niveau adéquat du périmètre. Il est conseillé de mener cette progression par étapes successives, chacune ayant pour effet d’augmenter la maturité d’un niveau. Le principe consiste à toujours commencer par les processus dont le niveau effectif est le plus bas pour uniformiser les niveaux effectifs de maturité SSI et de réitérer l’opération pour atteindre le niveau adéquat e maturité : on travaillera d’abord sur les processus dont le niveau est égal à 0, puis sur ceux dont le niveau est égal à 1 et ainsi de suite. Cette approche permettra d’obtenir des résultats visibles et des gains rapides.

Points clés

3 jours minimum

A partir de 3 850 € HT

Périmètres couverts

Aspects humains

Accès physiques

Applications

Infrastructures

Déroulement de la mission

L’audit organisationnel SYNHACK est organisé de la façon suivante :

Phase 1 : Préparation de l’audit

  1. Validation des sites / infrastructures / services concernés par l’audit (périmètre)
  2. Validation des dates d’interventions
  3. Validation des ressources à préparer (procédures, politiques, etc.)

Phase 2 : Exécution de l’audit

  1. Récupération et analyse de vos ressources (procédures, politiques, etc.)
  2. Distribution d’un questionnaire au près des collaborateurs de l’entreprise
  3. Détermination du niveau adéquat de maturité SSI avec votre responsable informatique
  4. Détermination du niveau effectif de maturité SSI avec votre responsable informatique

Phase 3 : Conclusion de l’audit

  1. Récupération et analyse des questionnaires des collaborateurs
  2. Rédaction du rapport d’audit
  3. Présentation sur site du rapport d’audit (restitution)
  4. Présentation des plans d’action à court / moyen / long termes

Livrables

Rapport d’audit

Suite à la réalisation de l’audit un rapport rendant compte des niveaux de maturité SSI de l’entreprise et de l’analyse de nos consultants sera rédigé. Ce livrable est destiné d’une part à la direction (synthèse globale) ainsi qu’aux équipes techniques.

Le rapport complet comprend les éléments suivants :

  • Résumé opérationnel :
    Ce résumé permet de rappeler les objectifs, les enjeux ainsi que le périmètre de l’audit. Il expose également les méthodes et les techniques utilisées lors de l’audit.
  • Synthèse :
    La synthèse contient l’ensemble des éléments essentiels comme le tableau de synthèse des niveaux de maturité, les plans d’actions à court, moyen et long termes ainsi que le risque global. Cette synthèse est compréhensible par des non experts.
  • État des lieux :
    L’état des lieux permet au consultant de rappeler brièvement le fonctionnement interne de l’entreprise (organigramme, fonctionnement du SI, cartographie simplifiée du SI).
  • Niveau de maturité SSI adéquat :
    Cette section contient les résultats du niveau de maturité SSI adéquat de l’entreprise. Ces résultats est établi à partir de questionnaires pragmatiques.
  • Niveau de maturité SSI effectif :
    Cette section contient les résultats du niveau de maturité SSI effectif de l’entreprise. Ces résultats sont obtenus par le biais d’échanges avec la direction informatique de l’entreprise.
  • Plans d’actions :
    Les plans d’actions visent à ce que le niveau de maturité SSI effectif soit égal au niveau de maturité SSI adéquat. Les plans d’actions sont segmentés en plusieurs phases afin de permettre à l’entreprise d’avoir une feuille de route claire et compréhensible.

Restitution sur site

Cette réunion permet de présenter la synthèse du rapport d’audit, des résultats concernant la maturité SSI de l’entreprise, des recommandations ainsi que d’organiser un échange de questions / réponses. Cette réunion sera également l’occasion d’expliquer les recommandations complexes et, éventuellement, de proposer d’autres solutions plus aisées à mettre en œuvre.

Exemple de mission

Audit organisationnel global

  • Résumé de la mission :
    Réalisation d’un audit organisationnel sur le service informatique et l’entreprise.
  • Périmètre de la mission :
    Politique de sécurité, procédures et processus de sécurité informatique, maturité SSI.
  • Équipe dédiée :
    1 consultant / 3 jours.
  • Résultat de la mission :
    Proposition d’un plan d’action complet pour améliorer l’organisation, la prise de décision et les métriques pour la Direction et la DSI de l’entreprise.

Demandez votre devis en moins d’une minute

SYNHACKAudit Organisationnel