Guide d'audit de la sécurité des systèmes d'information

Les attaques informatiques se font de plus en plus nombreuses contre les systèmes d’information des organes sensibles de notre pays, divulguant ainsi des informations confidentielles et mettant en danger la sécurité nationale. Par ailleurs, l’altération du système d’information (SI) n’est pas toujours le fait de malveillances. Elle peut être également due aux pannes, accidents ou erreurs humaines qui affectent la disponibilité, la confidentialité, l’intégrité ou la traçabilité de l’information et entrave le bon fonctionnement des systèmes d’information. Une évaluation systématique de la sécurité du système d’information s’impose donc afin de permettre le développement et la mise en oeuvre de pratiques de sécurité efficaces.

L’audit de sécurité des systèmes d’information est une évaluation permettant de s’assurer de l’efficacité des mesures de sécurité mises en place, d’acter l’adoption des solutions de protection adéquates et de réduire les risques pouvant nuire à la sécurité du SI. Il devient donc impératif que les administrations et les organismes publics mettent à jour leur système d’information en procédant à la réalisation d’audits de sécurité SI.

Dans ce contexte, la Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI), élaborée par la Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) et approuvée par le Comité Stratégique de la Sécurité des Systèmes d’Information (CSSSI), décrit les mesures de sécurité qui doivent être appliquées par les administrations et les organismes publics. Ces derniers seront amenés à réaliser un audit de sécurité de leur système d’information afin d’évaluer son niveau de maturité par rapport aux règles de la DNSSI et d’identifier les projets à mettre en oeuvre pour se conformer à cette dernière.

L’objectif de ce document est double ; D’une part, permettre aux organismes de l’Etat de bien définir leurs besoins en termes d’audit afin de rédiger d’éventuels appels d’offres. D’autres part, lister les exigences relatives aux prestataires d’audit permettant de garantir à l’organisme audité la compétence des auditeurs et la pertinence de leurs recommandations, ainsi que la qualité des audits effectués.