Lorsque la totalité du parc applicatif est connue, on peut ensuite procéder à un audit. L’objectif de cette étape est de mettre en évidence les vulnérabilités des applications au niveau de l’entreprise afin de prendre les mesures et actions correctives nécessaires et adaptées à l’ensemble des vulnérabilités détectées.
Généralement, les audits suivent une procédure en quatre étapes :
- Périmètre
Dans cette phase, l’ensemble des supports applicatifs (i.e. le périmètre applicatif) à prendre en compte lors de l’audit sont définis. Les processus et métiers de l’organisation sont pris en compte.
- Classement des risques
La deuxième étape est d’identifier les points à risque du système et de les classer selon un niveau de risque et une priorité d’action.
- Évaluations et tests
Cette phase comprend une série d’opérations d’évaluations, de tests (par exemple des pentests) et de contrôle qui met en évidence les vulnérabilités et les points faibles ou non conformes (e.g. applications obsolètes) du système informatique.
- Résultats et contre-mesures
Pour finir, une synthèse des résultats est fournie. Ce rapport comprend une liste des actions correctives à appliquer pour corriger les vulnérabilités et les dysfonctionnements que l’audit a permis de relever.
Il est ici important de rappeler que l’audit n’est pas une fin en soi, mais qu’il informe une démarche de sécurisation et de travaux correctifs encore à mettre en place.
