Bonjour,

J'aimerais faire un audit de ma société où le divisant en trois grandes catégories :

- audit de l'environnement de développement web (environnement PHP, gestion du versionning, injection SQL, c'est vrai que c'est technique)
- audit de l'architecture réseau (plus coté DMZ,proxy,routeur...)
- audit du systême d'information ( risques liés aux différents processus organitationels : production, recherche, commerce, vente.....)


J'aimerais afin de faire quelque chose de "propre" en suivant les méthodologie existantes. Mon choix se porte sur deux options :

- MEHARI 2007 (gratuite !!) mais son logiciel permettant d'appuyer la méthode est je pense payant
- EBIOS (plus ancienne) qui est gratuite et a un logiciel en licence GPL

Apparemment l'analyse des risques avec ses méthodes couvre énormément de couche (que ce soit organisationel, SI, reseau, physique...)

Deja est-ce que ma démarche est correcte ?

L'entreprise est une SSII de 6 employés. J'aimerais avoir des retours d'expérience sur la durée d'une telle mission (sachant que la collecte d'information ne sera pas un obstacle), est-ce que les objectifs suivant mes troix axes seront vu avec ces méthodes ?


Merci beaucoup,