Gouvernance et sécurité IT

View this page in: English

En tant qu’auditeurs, nous sommes spécialisés dans l’évaluation et même la certification des contrôles internes dans tous les domaines, y compris les contrôles relatifs à la technologie de l’information et à la sécurité. Étant donné l’étendue de notre portefeuille de clients, notre personnel est confronté aux pratiques communes dans des petits et grands départements informatiques. Comme nous sommes souvent appelés lorsqu’un problème se présente, nous voyons non seulement ce qui fonctionne bien, mais aussi ce qui ne fonctionne pas.

Un audit même relativement restreint peut rapidement mettre l’accent sur des domaines qui ont besoin d’attention ou qui exigent un examen plus détaillé. Nous possédons des méthodologies déposées, mais nous conduisons aussi fréquemment des évaluations à l’aide de normes comme COBIT (Control Objectives for IT, d’ISACA), ITIL (IT Infrastructure Library), des normes de l’ISF (Information Security Forum) ou des normes ISO (p. ex. ISO 27001 et 27002, l’ancienne ISO 17799). Notre approche est flexible et toujours adaptée à vos besoins spécifiques. Nous réalisons des évaluations générales de haut niveau en 3 jours à peine, ainsi que des audits détaillés où nous consacrons plusieurs semaines à un seul processus.

En conséquence, nous pouvons vous aider à aborder la sécurité au niveau des :
· politiques, normes et procédures de sécurité, y compris les schémas de classification de l’information et les campagnes de sensibilisation à la sécurité ;
· processus de gestion IT, comme la gestion du changement et des problèmes, l’administration de la sécurité, la gestion des actifs et des configurations, les opérations, les plans de secours et de continuité de l’exploitation (DRP et BCP) ;
· systèmes d’exploitation, bases de données et réseaux ;
· outils de sécurité et d’administration (Active Directory, solutions de gestion des identités, Infrastructures à clés publiques, systèmes de détection des intrusions, outils de sécurité de base, etc.) ;
· applications développées en interne ou progiciels standards (pour l’ERP, comme SAP, Oracle Financials, JD Edwards, mais aussi Axapta, Thaler…).

PwC est un évaluateur ISO accrédité et nous sommes spécialisés dans la préparation des clients à la certification ISO 27001, qui devient de plus en plus un véhicule commun pour les projets d’amélioration de la sécurité de l’information.

Bien que dans notre groupe de certification des systèmes et processus, nous nous concentrons sur les évaluations de la sécurité de l’information, nous nous associons souvent de manière homogène et avec succès à nos collègues d’Advisory afin de mettre non seulement l’accent sur les problèmes potentiels, mais aussi de développer des solutions sur mesure et de vous aider à les mettre en œuvre. De surcroît, cette combinaison nous permet aussi de couvrir des aspects de la gouvernance IT autres que la sécurité, c.-à-d. l’alignement de votre fonction et vos systèmes informatiques et de l’architecture de réseau sur vos objectifs opérationnels, comment gérer vos coûts informatiques et améliorer la performance opérationnelle de votre département informatique en général, du point de vue de l’efficience et de l’efficacité.