Un audit de conformité à la norme ISO 27001 vérifie l'alignement des pratiques réelles avec les exigences de la norme, identifie les vulnérabilités et propose des plans d'actions concrets pour votre SMSI.

Cybersécurité, risques et planification

L'audit examine comment l'entreprise maîtrise ses risques informationnels : confidentialité, intégrité et disponibilité des données, sécurité réseau et traçabilité. L'analyse porte sur la cartographie des risques, les actifs critiques et les conformités réglementaires (RGPD, NIS2). La norme requiert un engagement clair de la direction, formalisé dans une politique de sécurité diffusée à l'ensemble de l'organisation.

Contrôles techniques : réseaux, antivirus, filtrage

Vérification des mesures opérationnelles : segmentation réseau, pare-feu, filtrage, détection d'intrusion, antivirus, durcissement des systèmes, mises à jour de sécurité et gestion des vulnérabilités. Examen des preuves de surveillance (journaux, tests d'intrusion, revues de configuration).

Contrôles d'accès, authentification et protection des données

Évaluation de la gestion des accès : identités, privilèges, authentification forte (MFA), revues d'habilitations et séparation des tâches. La protection des données inclut le chiffrement, les sauvegardes, l'anonymisation et la conformité RGPD.

Surveillance continue, détection et amélioration

Identification des non-conformités et des pistes d'amélioration du SMSI : indicateurs de sécurité, journalisation, corrélation d'événements (SIEM), alertes, gestion des incidents et revues de direction.

PRA/PCA et situations d'urgence cybersécurité

Examen des scénarios d'incidents (cyberattaques, ransomware, fuites de données, pannes critiques) : analyses de risques, Plans de Reprise d'Activité (PRA), Plans de Continuité d'Activité (PCA), procédures d'intervention et exercices de simulation.