Audit de Sécurité
Version : 1.0 // Date d'effet : 06/03/2026
Ce document a une vocation de gouvernance et de transparence. Il ne constitue pas, à lui seul, un rapport de tests techniques ou d'intrusion, mais le référentiel de pilotage utilisé pour organiser les évaluations, les constats et les plans d'action de sécurité.
1. Objet
CABINET OBS entend inscrire la sécurité de son système d'information dans une logique d'amélioration continue, proportionnée à ses activités, à son exposition aux risques et aux données traitées. Les audits et contrôles de sécurité ont pour objet d'identifier les écarts, de prioriser les remédiations et d'alimenter la gouvernance de sécurité.
2. Périmètre de principe
Le périmètre d'audit couvre, selon les campagnes, le site institutionnel, les outils supportant les formulaires et échanges de contact, les comptes et postes associés, les journaux de sécurité, les sauvegardes, les accès distants, ainsi que les prestataires ou services tiers critiques participant à la mise à disposition du service.
Tout audit ciblé fait l'objet d'une définition préalable du périmètre, des hypothèses, des exclusions éventuelles, des interlocuteurs et des livrables attendus.
3. Principes directeurs
- approche fondée sur les risques, la criticité métier et le niveau d'exposition ;
- proportionnalité des contrôles au regard de la taille de l'organisation et de la nature des traitements ;
- traçabilité des constats, des preuves et des arbitrages ;
- confidentialité des informations collectées pendant l'audit ;
- suivi documenté des plans d'action et vérification de clôture.
4. Gouvernance et responsabilités
La direction de CABINET OBS sponsorise le programme d'audit et arbitre les décisions structurantes. Les référents concernés coordonnent la préparation des audits, la collecte des preuves, la restitution des constats et le suivi des mesures correctives. Lorsque l'intervention d'un prestataire externe est requise, les rôles, les conditions d'accès, les obligations de confidentialité et les modalités de restitution sont définis avant le démarrage.
5. Domaines de contrôle
Les contrôles peuvent porter notamment sur les domaines suivants :
| Domaine de contrôle | Exemples de vérifications |
|---|---|
| Gouvernance et pilotage | Rôles et responsabilités, cartographie des actifs, analyse des risques, politique de sécurité, suivi des décisions et plan d'action |
| Identités et accès | Gestion du cycle de vie des comptes, droits d'accès, comptes à privilèges, authentification forte lorsque pertinente, revues périodiques |
| Systèmes, postes et environnements | Gestion des correctifs, durcissement, antivirus/EDR si applicable, protection des terminaux, configuration des postes et serveurs |
| Réseaux, exposition Internet et services tiers | Segmentation, publication des services, filtrage, accès distants, dépendances critiques, sécurité des prestataires et des interconnexions |
| Journalisation, détection et preuves | Collecte des logs, horodatage, supervision, alertes, conservation des preuves, capacité d'investigation et documentation |
| Sauvegardes et continuité | Politique de sauvegarde, restauration, continuité minimale, reprise, procédures dégradées et tests périodiques |
| Protection des données et conformité | Mesures de confidentialité, minimisation, contrôle des accès aux données, gestion des sous-traitants, documentation RGPD |
| Réponse aux incidents | Détection, qualification, escalade, confinement, remédiation, retour d'expérience et suivi des vulnérabilités |
6. Fréquence et déclencheurs
Un cycle de revue périodique est planifié selon les besoins de l'organisation, idéalement à cadence annuelle pour les points structurants, et à chaque fois qu'un changement significatif affecte l'architecture, les accès, les données, les prestataires critiques ou l'exposition aux risques.
Une évaluation complémentaire peut être déclenchée à l'occasion d'un incident, d'une anomalie, d'une évolution majeure, d'un changement de prestataire, d'une mise en production sensible, d'une exigence client ou d'une contrainte réglementaire.
7. Méthodologie d'audit
- préparation : cadrage, objectifs, périmètre, interlocuteurs, règles d'accès, planification et confidentialité ;
- collecte : entretiens, revue documentaire, relevés de configuration, échantillonnages, analyse de procédures et preuves de mise en œuvre ;
- vérifications : contrôles organisationnels, applicatifs ou techniques autorisés, revue des droits, examen de la journalisation, analyse des dépendances ;
- restitution : qualification des constats, impacts, criticité, recommandations, priorisation et arbitrage ;
- suivi : désignation d'un responsable, échéance de remédiation, preuve de correction et contrôle de clôture.
8. Échelle de criticité et délais cibles
| Niveau | Lecture | Délai cible de traitement |
|---|---|---|
| Critique | Exposition immédiate ou risque majeur sur la confidentialité, l'intégrité, la disponibilité ou la conformité | Immédiat à 15 jours |
| Élevé | Vulnérabilité sérieuse ou contrôle insuffisant pouvant entraîner un impact significatif | 30 jours |
| Modéré | Écart réel mais non bloquant, nécessitant un plan de correction priorisé | 90 jours |
| Faible | Point d'amélioration ou mesure de maturité à planifier | Prochain cycle ou feuille de route |
9. Confidentialité et gestion des vulnérabilités
Les éléments produits dans le cadre d'un audit — constats, preuves, journaux, rapports techniques, plans d'action et échanges associés — sont traités comme des informations sensibles. Ils sont diffusés selon le besoin d'en connaître et conservés dans des conditions adaptées au niveau de risque.
Toute recherche active de vulnérabilités, tout scan, test intrusif ou test d'intrusion fait l'objet d'une autorisation préalable explicite, d'un cadrage écrit et d'une coordination avec les parties concernées.
10. Suivi et amélioration continue
Les constats issus des audits alimentent une feuille de route de sécurité, avec des responsables identifiés, des dates cibles, une preuve de traitement et, lorsque nécessaire, une revue de l'efficacité de la remédiation. Les leçons apprises à la suite d'un incident ou d'une campagne d'audit conduisent, si besoin, à une mise à jour des pratiques, des procédures et du présent document.
Version du document : 1.0 // Date d'effet : 06/03/2026