Discussion :

[Craigthd]

Bonjour à tous,

Je suis actuellement en stage et l'on me demande de définir les différentes étapes d'un audit de sécurité du SI dans son intégralité pour préparer un appel d'offre.
Ca fait quelques temps que je suis dessus, je pense avoir identifié la plupart des impératifs liés à EBIOS (le choix de la méthode est définitif) à force de potasser les documentations fournies par l'ANSSI.

Il me reste cependant un soucis majeur, une composante que je n'arrive pas à comprendre : où s'arrêtent mes responsabilités (celles de la société) et ou commencent celles de l'auditeur ?
Concrètement, est-ce à moi de définir le périmètre de l'audit ou bien est-ce de la responsabilité du prestataire d'audit ?

Si vous avez, quelques conseils supplémentaires à apporter sur la répartition des tâches, je suis tout à fait preneur, la plupart des informations que je trouve sont relatives à un audit interne.

D'avance merci. Craig.

[sneb5757]

bonsoir

Je répond un peu tard peut être .... Je connais les audites SI dans le cadre de certfification ISO/IEC 27001. Le scope de l'audit suit le scope définit par l'entreprise pour la certification. Donc je suppose que c'est à toi de définir un scope. ( C'est quand même pas fait sous ta seule responsabilité ? )

[Craigthd]

Je réponds moi même tardivement.
Premièrement, merci de ton intérêt.
Deuxièmement, ce n'est effectivement pas fait sous ma seule responsabilité, je tiens plus un rôle d'AMOA dans ce projet. Cependant, étant au sein d'un établissement ne disposant pas des compétences ni des ressources temporelles nécessaires, je suis plus ou moins chargé de leur expliquer le fonctionnement optimal de l'audit.
Je pense avoir compulsé les référentiels suffisants pour avoir une vision du déroulement. Il me restait simplement quelques points à eclaircir sur lesquels je ne trouvais pas de renseignements. Bref, en expliquant la volonté d'évolution au prestataire, il devrait être lui même chargé de définir le scope effectif de l'audit.