Qu'est-ce qu'un audit de sécurité?
Un audit de sécurité est une analyse de l’adéquation de la sécurité dans un système informatique. Les types d’audits de sécurité généraux comprennent un audit informatique pour l’ensemble des systèmes informatiques de la société ou un audit de sécurité informatique pour un système ou processus informatique partiel. Ces types de processus d'audit interne sont effectués pour garantir que la sécurité est suffisante pour tout type de système informatique au sein d'une entreprise.
Les auditeurs de sécurité peuvent examiner le chiffrement ou d’autres éléments de la sécurité en ligne ou informatisée. Ils peuvent interroger des utilisateurs d’ordinateurs pour déterminer si le facteur humain est un maillon faible en termes de sécurité. Un auditeur de sécurité peut effectuer un test d'intrusion, ou un autre type d'évaluation de la sécurité, pour juger du degré de sécurité d'un système informatique.
Certains types d’audits de sécurité sont commandés par les dirigeants d’entreprise dans le but de protéger les résultats financiers d’une entreprise. D'autres audits de sécurité sont effectués afin de garantir la conformité avec les lois fédérales, étatiques ou locales lorsque les données de l'entreprise incluent un élément de risque public. Dans ces cas, les agences gouvernementales peuvent exiger des audits de sécurité périodiques pour montrer qu'une entreprise protège des données publiques.
La législation connue sous le nom de Loi sur la transférabilité et la responsabilité en matière d’assurance maladie ou HIPAA est l’un des principaux moteurs des audits de sécurité des entreprises médicales. Les règles HIPAA prévoient une sécurité stricte des données des patients et chaque établissement ou entreprise lié au secteur médical doit se conformer à la réglementation HIPAA. Les tâches d'audit de sécurité peuvent inclure une attention particulière pour s'assurer que HIPAA est suivi au sein de l'entreprise ou du réseau.
Les entreprises financières ou autres peuvent effectuer un audit de sécurité conformément aux réglementations imposées par la loi Sarbanes-Oxley. Bien que Sarbanes-Oxley ait été conçu comme une protection contre les pratiques comptables corrompues, sa législation peut inclure des éléments tels que des audits de sécurité dans le cadre d’un processus d’audit global. Dans d'autres cas, la législation sur la protection des consommateurs peut obliger une entreprise à effectuer un audit de sécurité.
Une entreprise peut souvent avoir une politique de sécurité qui indique quand et comment un audit de sécurité doit être effectué. L'audit de sécurité peut également impliquer l'examen de "contrôles et contrepoids" au sein d'un département ou d'un système d'entreprise. Tous ces efforts ont pour but de protéger les données et d'assurer une sécurité compétente à tout type d'entreprise. Les auditeurs professionnels sont formés aux métriques précises qui indiquent si un système de sécurité est fiable et raisonnablement protégé contre les attaques extérieures.