Bonjour ,

Je me permets de venir ici pour avoir des renseignements sur un "audit de sécurité SI avec test de pénétration".
Si quelqu’un parmi vous a déjà fait des audits de sécurité ça serait super.

1) Quels sont les documents essentiels dont l’auditeur à besoin ? Moi j’ai noté le PSSI, l’ISO 27001 & 27003 et la réglementation interne de l’entreprise auditée.

2) L’auditeur pour l’analyse de risque, est-il obliger de passé par une méthode connue comme EBIOS, MEHARI, etc., ou peut-il faire par sa propre méthode d’analyse de risque qu’il a développée ?

3) Concernant le test de pénétration (pentest), dans la démarche de l’audit, remplace-t-il l’audit technique où c’est en complémentaire ?