Introduction

Parmi les raisons généralement évoquées pour améliorer la gouvernance de la sécurité de l’information, les entreprises soulignent l’importance de se mettre en conformité au regard des exigences de leurs clients ou des exigences réglementaires.

Ces exigences peuvent être normatives et impliquer que l’entreprise soit certifiée pour continuer ses relations avec son donneur d’ordre. Dans ce cas, l’entreprise sera soumise à un audit de certification.

Dans la plupart des cas, le donneur d’ordre n’exige pas formellement une certification, mais la conformité à un certain nombre de règles de sécurité. Pour mieux comprendre la genèse de ces exigences, il faut se reporter à la norme ISO 27001, qui fait obligation de gérer la sécurité des prestataires sensibles. Par gérer, on entend exprimer des exigences et en contrôler l’application. Un moyen de contrôle est la réalisation d’audit, et l’entreprise fournisseur sera soumise à ce qu’il est convenu d’appeler un audit tiers au travers duquel l’entité cliente souscrit à ses exigences normatives.

Dans d’autres cas, l’organisation se doit d’être conforme à un référentiel réglementaire : HDS pour les Hébergeurs de Données de Santé, réglementations spécifiques...

Pour consulter la suite, découvrez le livre suivant :
couv_DPSECISO.png
60-signet.svg
En version papier
20-ecran_lettre.svg
En version numérique
41-logo_abonnement.svg
En illimité avec l'abonnement ENI
130-boutique.svg
Sur la boutique officielle ENI
Précédent
Cas pratique
Suivant
Pourquoi faire des audits ?