Un audit de sécurité informatique est un examen systématique et méthodique des systèmes et applications d'une organisation afin d'évaluer la robustesse de ses mécanismes de sécurité. L'objectif principal est d'identifier les vulnérabilités et faiblesses qui pourraient être exploitées par des acteurs malveillants et de renforcer la sécurité par la mise en place des recommandations. L'audit permet également d'évaluer la conformité du SI avec la Politique de Sécurité du Système d'Information.

Un audit de sécurité peut être divisé en plusieurs chapitres ou thèmes, notamment :

• Audit de sécurité physique : Évalue la sécurité des installations physiques, comme l'accès aux centres de données, la sécurité des serveurs, etc.
• Audit de sécurité réseau : Analyse la configuration, les équipements (routeurs, pare-feux, etc.) et les protocoles utilisés pour assurer la sécurité du réseau contre les attaques externes ou internes.
• Audit de sécurité des applications : Se concentre sur les logiciels et les applications pour déterminer si des vulnérabilités peuvent être exploitées.
• Audit des politiques et procédures : Évalue si les politiques et procédures de sécurité mises en place par l'entreprise sont adéquates et si elles sont respectées.
• Test d'intrusion (pentest) : Il s'agit d'une approche proactive où des experts en sécurité essaient, avec l'autorisation de l'organisation, de pénétrer ses systèmes pour découvrir des vulnérabilités. Contrairement à un audit de sécurité traditionnel qui peut être plus passif ou basé sur une évaluation, un test d'intrusion est actif et cherche à exploiter réellement des failles.
• Audit de la conformité : Assure que l'organisation respecte les normes et réglementations en vigueur en matière de sécurité informatique.

À la fin de l'audit, un rapport est généralement produit, détaillant les vulnérabilités trouvées, leur gravité, les axes d’amélioration et des recommandations pour les corriger.

La réalisation régulière d'audits de sécurité est cruciale pour les organisations afin de maintenir un niveau de sécurité élevé face à l'évolution constante des menaces informatiques. Un audit de sécurité est généralement recommandé avant de souscrire une assurance cyber car il permet de connaître le niveau de maturité du SI face au risque cyber.