Activités et tâches de l'auditeur SSI
Analyse de risques :
- Nous administrons la réalisation d’inspections locales (interviews, audits, tests d’intrusion, analyses d’architecture).
- Nous produisons des tableaux de bord du niveau de sécurité et de conformité.
Étude et préconisations :
- Nous rédigeons des rapports incorporant une analyse des vulnérabilités rencontrées et des préconisations techniques et organisationnelles.
- Nous rédigeons des fiches techniques sur des domaines SSI techniques ou plus généraux.
Conception d’outils :
- Nous élaborons des outils utilisés pour les audits.
- Nous identifions de nouveaux moyens pour détecter des failles.
Audit et contrôle :
- Nous contrôlons la bonne application des procédures.
- Nous vérifions la sécurité organisationnelle, le PRA/PCA, DLP (Data Loss Prevention), la conformité par rapport aux exigences d’une norme (exemple : PCI DSS) ou un référentiel.
- Nous procédons aux audits des configurations et audits de code.
Veille :
- Nous assurons une veille active et ciblée dans les domaines des menaces, nouvelles technologies, référentiels réglementaires et les nouvelles normes.
Besoin d’aide avec votre cybersécurité ?
Nous accompagnons nos clients dans la sécurisation de leur transformation digitale.
Livrables
- Rapports d’audits.
- Préconisations en regard des résultats de l’audit concerné.
Indicateurs de performance
- Taux d’application des préconisations.
- Suivi des non conformités (évolution, clôture des incidents…).
Tendances et facteurs d’évolution du métier d’auditeur SSI
L’introduction de nouvelles obligations réglementaires visant à adhérer aux normes et pratiques les plus récentes, ainsi qu’à réaliser des audits de sécurité réguliers des systèmes d’information, entraîne une demande importante d’auditeurs SSI aux compétences spécialisées.
Par ailleurs, la montée de la menace accroît l’importance du rôle que nous avons à jouer dans la sécurité des SI.
Au-delà de la spécificité de notre profil d’expert en SSI, c’est aussi un rôle qui est inclus dans d’autres profils comme CISO ou CERT ou dans divers départements selon l’entreprise. Il peut être lié ou non à la DSI.
Il est moins axé sur la « cyber protection » Il pourrait davantage être réorienté vers le domaine de la « cyber défense ».
Il peut également évoluer vers un profil de RSSI ou d’expert SI.
Les activités d’audit et la FINMA
La FINMA, l’Autorité fédérale de surveillance des marchés financiers est un régulateur financier de l’état suisse qui peut mandater des chargés d’audit dans le cadre de la surveillance continue pour procéder à un audit chez un assujetti.
Les sociétés d’audit et la FINMA sont indépendantes. Les sociétés d’audit jouent un rôle important dans l’activité d’audit des entreprises. Ceci nécessite de leur part rigueur et cohérence, et exercent leur fonction dans l’intérêt de l’autorité de surveillance. L’accomplissement de ce rôle requiert un travail rigoureux des sociétés d’audit.
La mise à jour de la circulaire en 2020 au sujet des activités d’audit (entrée en vigueur en 2013) règle l’audit d’établissements assujettis par les sociétés d’audit, lesquelles font office de bras armé de la FINMA, dans le sens d’un concept de surveillance orienté sur les risques. Cette mise à jour engendre donc quelques nouveautés et mises en conformités pour les entreprises.
MINT-EXPERT et la FINMA
En tant qu’expert et chargé d’audit, nous accompagnons les entreprises dans ce domaine afin de les aider à comprendre et à mettre en place les circulaires éditées et mises à jour par la FINMA.
Si vous êtes une entreprise et que vous souhaitez rentrer en conformités avec la mise à jour des différentes circulaires de la FINMA, contactez-nous. Nous pourrons vous accompagner dans vos démarches pour davantage de facilité et de gain de temps.
Besoin d’aide avec votre cybersécurité ?
Nous accompagnons nos clients dans la sécurisation de leur transformation digitale.