Quelle est la seule affirmation exacte à propos des audits de sécurité ?
[A] Les audits de première partie ont généralement peu de valeur pour améliorer la sécurité de l’information
[B] Les audits de première partie sont toujours réalisés par des auditeurs internes
[C] Les audits de deuxième partie peuvent permettre à un organisme de vérifier la sécurité d’un de ses partenaires ou fournisseurs
[D] Les audits de tierce partie servent exclusivement à délivrer des certifications
Selon la norme ISO 19011, un audit est un processus méthodique, indépendant et documenté, permettant d’obtenir des preuves objectives et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit sont satisfaits.
Les audits peuvent être classés en trois catégories : les audits internes (ou audit 1ère partie), les audits externes (ou audits de seconde partie) et les audits de certification (ou audits de tierce partie).
Dans un audit de 1ère partie, l’entité audité et le commanditaire de l’audit font partie du même organisme. Ce type d’audit peut permettre d’améliorer la sécurité du système d’information d’un organisme et peut être réalisé par des auditeurs internes ou externes.
Les audits de tierce partie, également appelés audits de certification ou d’accréditation, ont pour objectif l’obtention d’une certification ou d’une accréditation.
Enfin, on pratique l’audit de 2ème partie, lorsque 2 entreprises veulent travailler ensemble mais que l’une d’entre-elle veut s’assurer du niveau de sécurité de son partenaire. Par exemple, une entreprise peut procéder à l’audit d’un de ses fournisseurs. L’objectif sera par exemple de vérifier que les toutes clauses de sécurité indiquées au contrat sont bien respectées par le fournisseur.
La bonne réponse est la proposition [C]
Pour en savoir plus sur les audits et les tests d’intrusion nous vous recommandons de suivre le module n°16 de la formation CISSP en distanciel de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE