L’audit d’architecture s’intéresse au SI dans son ensemble et cherche à valider la pertinence des choix technologiques et le respect des bonnes pratiques de sécurité
De tous les audits techniques, l’audit d’architecture est peut-être celui au périmètre le plus large. Il s’agit en fait d’un audit macroscopique ! Selon le périmètre, ce type d’audit exigera plus de temps et de ressources que les autres. Son objectif est de s’assurer que le Système d’Information (sa topologie, son organisation, ses priorités) est conforme aux exigences métiers, aux divers règlements qui s’y appliquent et aux bonnes pratiques de sécurité. L’audit d’architecture évaluera également les choix technologiques opérés par l’IT et la SSI, leur pertinence ainsi que la qualité de leur implémentation (et accessoirement leur bonne configuration, voir encadré)
Le choix du prestataire
Si dans le cadre du test d’intrusion l’entreprise suit souvent un auditeur individuel, l’audit d’architecture est une affaire d’équipe et de compétences multiples : un seul auditeur sera difficilement expert de l’ensemble des bonnes pratiques et des solutions déployées au sein de l’entreprise. En outre le prestataire devra disposer d’un volet de certifications éditeurs étendu. Ces contraintes font qu’à compétences égales, plutôt qu’un pure player du conseil il sera possible d’envisager un intégrateur spécialiste de la sécurité capable d’offrir du conseil.
L’audit de configuration
L’audit de configuration est une prestation parfois distincte mais complémentaire à l’audit d’architecture. Plus ciblé, celui-ci porte sur la pertinence des configurations matérielles et logicielles du SI. Celles-ci seront étudiées sur la base des guides d’installation officiels, parfois des codes sources et surtout des meilleures pratiques de l’industrie. Là aussi, l’objectif est d’identifier les mauvaises pratiques (les configurations par défaut notamment) et de proposer un plan de correction.