Un audit de sécurité est une analyse de l’adéquation de la sécurité d’un système informatique. Les types d’audits de sécurité généraux comprennent un audit informatique pour l’ensemble des systèmes informatiques de l’entreprise ou un audit de sécurité informatique pour un système ou un processus informatique partiel. Ces types de processus d’audit interne sont effectués pour garantir que la sécurité est suffisante pour tout type de système informatique au sein d’une entreprise.
Ceux qui effectuent un audit de sécurité peuvent examiner le cryptage ou d’autres éléments de sécurité en ligne ou informatisés. Ils peuvent faire des entretiens avec des utilisateurs d’ordinateurs pour déterminer si le facteur humain est un maillon faible en termes de sécurité. Un auditeur de sécurité peut effectuer un test d’intrusion, ou un autre type d’évaluation de la sécurité, pour juger du degré de sécurité d’un système informatique.
Certains types d’audits de sécurité sont ordonnés par la direction de l’entreprise dans le cadre de la protection des résultats financiers d’une entreprise. D’autres audits de sécurité sont effectués afin de garantir la conformité aux lois fédérales, étatiques ou locales lorsque les données d’entreprise comportent un élément de risque public. Dans ces cas, les agences gouvernementales peuvent exiger des audits de sécurité périodiques pour montrer qu’une entreprise protège les données publiques.
La législation connue sous le nom de Health Insurance Portability and Accountability Act ou HIPAA est l’un des principaux moteurs des audits de sécurité pour les entreprises médicales. Les règles HIPAA garantissent une sécurité stricte des données des patients, et chaque établissement ou entreprise médicale doit se conformer aux réglementations HIPAA. Les tâches d’audit de sécurité peuvent inclure une attention particulière pour s’assurer que la loi HIPAA est respectée au sein de l’entreprise ou du réseau.
Les entreprises financières ou autres peuvent effectuer un audit de sécurité en vertu des réglementations imposées par la loi Sarbanes-Oxley. Bien que Sarbanes-Oxley ait été conçu comme une protection contre les pratiques comptables corrompues, sa législation peut inclure des éléments tels que des audits de sécurité dans le cadre d’un processus d’audit global. Dans d’autres cas, la législation sur la protection des consommateurs peut exiger qu’une entreprise effectue un audit de sécurité.
Une entreprise peut souvent avoir une politique de sécurité qui impose quand et comment un audit de sécurité doit être effectué. L’audit de sécurité peut également impliquer d’examiner les « contrôles et contrepoids » au sein d’un service ou d’un système d’entreprise. Tous ces efforts vont dans le sens de l’objectif global de protection des données et de sécurité compétente pour tout type d’entreprise. Les auditeurs professionnels sont formés aux mesures précises qui montrent si un système de sécurité est fiable et raisonnablement protégé contre les attaques extérieures.