La sécurité est avant tout une question de moyens et de processus mais aussi d’information claire et transparente vis-à-vis de ses clients. Il est indispensable que vous soyez très exigeant vis-à-vis de votre sous-traitant (hébergeur par exemple) en termes de sécurité, disponibilité et conditions d’exploitation.

Un tel audit n’a pas pour objet de donner une certification vis-à-vis de telle ou telle norme, l’objectif est d’évaluer l’état de l’organisation de la sécurité des systèmes d’information de votre sous-traitant vis-à-vis de référentiels techniques et réglementaires mais également du contrat qui le lie à votre organisation. En d’autres termes, quelle est sa « maturité cyber » au regard des travaux réalisés pour votre compte ? En effet, l’audit doit montrer, à l’aide d’éléments de preuves, en quoi la réalité opérationnelle correspond à ce qui a été signé entre vous et votre sous-traitant et que cela répond pleinement à vos besoins en sécurité – y compris sur les aspects de protection des données.