Un audit complet prévoit de suivre les étapes suivantes :
- Audit documentaire & analyse d'écart en production
* Phase visant à identifier les éléments documentaires (PSSI,directives, RGPD, ...) et déterminer les écarts en production.
Ces interviews permettront de vérifier la concordance entre les recommandations et les pratiques actuelles de l’équipe technique.
- Audit organisationnel :
* Phase d’immersion avec les équipes dirigeantes et opérationnelles afin de partager la même vision macroscopique du SI.
Basée sur des interviews autour de la gouvernance, des processus, des compétences internes.
Mais aussi de la gestion des risques ou des crise, ainsi que des possibles stratégies d’amélioration de la sécurité.
Tout celà en gardant en filigrane les notions de conformité aux diverses réglementations en vigueur et à venir.
- Audit technique :
* Phase de mesure du niveau réel de sécurité téchnique.
Elle débute par une comparaison du SI en production vis-à-vis de l'état de l'art.
Il s'agit ensuite de trouver les problèmes de configuration et mise à jour sur les composants de l’architecture.
Puis au travers de pentest, identifier les potentielles fuites et failles sur les différents accès possibles au réseau du client