--- tags: SECUP, joffrey.chambon title: SECUP cours 4, audit de sécurité --- # Introduction * Période romaine : du latin "audire" -> écouter. Pour contrôler les provinces au nom de l'empereur. * Synonyme : contrôle, vérification, expertise, évaluation, etc. * XIVème siècle : Notion anglo-saxonne visant la gestion. Premier cabinet d'audit à Londres. Chambre des comptes en France en 1319 Audit destiné au contrôle financier ## Def :::info L’audit est l'examen professionel qui consiste en une expertise effectuée par un agent compétent et impartial aboutissant à un jugement par rapport à une norme sur les états financiers, le contrôle interne, l'organisation, la procédure, ou une opération quelconque d'une entité. ::: Selon l'ifaci : ::: info * L’Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. * Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. ::: Selon l'ISO : ::: info Processus méthodique, indépendant et documenté permettant d’obtenir des preuves d’audit (enregistrement, énoncé de faits, ...) et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit (ensemble des politiques, procédures ou exigences déterminées) sont satisfaits ::: norme ISO 19011 * Audit de conformité : audit pour démonter le respect de certaines normes, politiques, règlements, lois, ... * Audit financier : audits visant à évaluer la justesse des rapports financiers * Audits opérationnels : audits visants à évaluer le contrôle interne * Audits des SI : audits pour s'assurer que le SI protège adéquatement les actifs (DICT) et fournit des renseignements pertinents et fiables * Audits spécialisés : normes particulières * Investigation lgales : audit spécialié dans la découverte la divulgation et le suivi des fraudes et des crimes ## Qualité et éthique * Déontologie * Confiance * Intégrité * Confidentialité * Discrétion * Loyauté * Impartialité et transparence * Conscience professionelle * Indépendance ## Objectifs * Obligations * Améliorer, se rassurer * Evaluer, comparer * Sensibiliser * Analyser sur incident * Certifier, prouver Pour évaluer un niveau de protection ou le niveau de prise en compte d'un risque Différents natures d'audits : * Conformité vis-à-vis d'une loi ou norme * Robustesse, efficacité # Démarches de contrôles ## Plan d'audit * Défini le périmètre * Les risques concerné par les contrôles SSI * Les actifs, processus, organisation, ... objets des contrôles SSI * La nature des investigations * Le planning, la fréquence * Les moyens nécéssaire Identification des services Classifications des services Sélection des actifs Planification des contrôles les planifications des contrôles Le déroulement d'un contrôle # Les investigations # La restitution # La professionalisation du métier d'auditeur