4.2.2. Audits et inspections externes
4.2.2.1. Audits techniques
L'audit est entendu ici comme une mission d'expertise dans les domaines de la protection du secret, de la sûreté des bâtiments ou de la sécurité des systèmes d'information (61).
Il a pour but d'identifier des vulnérabilités, des faiblesses et/ou des non conformités afin d'apporter des recommandations et des actions correctives d'amélioration vis-à-vis des exigences réglementaires. Il est conduit à l'initiative du responsable d'organisme ou à la demande des autorités ministérielles en charge de la protection du secret et donne lieu à un rapport écrit classifié.
L'audit peut être conduit par un service enquêteur, par le Commandement spécialisé pour la sécurité nucléaire, ou par des consultants privés (62).
Dans le cas d'un audit de sécurité des systèmes d'information, l'externalisation ne peut se faire qu'auprès de prestataires qualifiés par l'Agence nationale de la sécurité des systèmes d'information (63).
(61) Pour l'audit des systèmes d'information Cf. IGI 1300 §6.9.
(62) Dans ce dernier cas, l'accord préalable du fonctionnaire de sécurité de défense est requis.
(63) Il s'agit des prestataires d'audit SSI (PASSI).