Un audit peut être défini comme un processus méthodique, indépendant et documenté permettant d'obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure des critères préalablement définis sont satisfaits. Ainsi, un audit permet d'établir une revue, un inventaire, un état des lieux. En matière de SSI (Sécurité des Systèmes d'Information), pour toute organisation, la sécurité doit être un enjeu capital de gouvernance. Face à la multiplication des cyberattaques et des menaces de plus en plus sophistiquées et ciblées, il est malheureusement constaté que certaines organisations peuvent encore être particulièrement vulnérables sur des questions de cybersécurité. Synetis, avec une approche offensive et défensive, est en mesure d'accompagner PME et grandes entreprises de la conception à l'implémentation jusqu'au maintien en condition opérationnelle de leurs environnements de sécurité. L'audit de sécurité informatique participe en effet à la confiance globale d'une organisation et permet de connaître les faiblesses de cette dernière voire de se rassurer.
1. Sur la partie organisationnelle L' audit de sécurité informatique s'attache à comprendre et mesurer le niveau de maturité et de conformité des processus de sécurité mis en place: processus et mesures de sécurité qui sont déjà conformes au référentiel; processus et mesures de sécurité qui nécessitent un travail de mise en conformité; processus et mesures de sécurité à mettre en place. 2. Sur la partie technique L' audit s'attache à évaluer le niveau de sécurité des mécanismes implémentés: niveau de sécurité des implémentations techniques face à l'état de l'art en matière d' intrusion informatique, notamment concernant les contre-mesures techniques déclinées de la documentation fournie ou évoquées lors des entretiens; robustesse en conditions réelles des solutions mises en œuvre; identification des risques résiduels et des éventuels scénarios d'intrusion qui en découlent. Services complémentaires
Compte-tenu de la quantité de composants à vérifier, l'auditeur a recours à des outils permettant d'automatiser les vérifications, tels que des outils de reconnaissance des équipements, de tests automatiques de vulnérabilités du réseau, ou de tests de solidité de sécurité. L'auditeur doit veiller à ce que les tests réalisés ne viennent pas gêner l'activité de l'entreprise ni la continuité de service du système audité. 5: les tests de pénétration ou simulation d'attaques Ces tests sont des mises en situation qui visent à simuler une attaque et à voir quels pourraient être les dégâts causés à l'entreprise. Ces tests peuvent être réalisés par des auditeurs qui n'ont que peu d'informations sur le système audité. (On parle de boîte noire, boîte blanche ou boîte grise selon les informations dont ils disposent). Là aussi, l'auditeur doit veiller à ne pas provoquer de dommages, ni de perturbations pour l'organisation auditée. Ces tests d'intrusion doivent aussi être réalisés dans le respect d'une charte de déontologie stricte, qui est décrite dans la charte de l'audit.