Dans la réalité, pour un sujet donné, bien souvent, ces trois aspects sont imbriqués, comme l’illustre l’exemple que j’ai choisi : la politique de mots de passe d’une organisation. Comment les personnes se sont-elles organisées ? De quels outils disposent-elles ? La protection réglementaire des données est-elle mise en œuvre pertinemment ?
Grâce au compte-rendu d’audit, les actions prioritaires sont définies. S’ensuit la planification des actions à mener. Tout est élaboré de concert avec la direction de l’organisation et/ou de l’informatique. Chaque point du compte-rendu d’audit est abordé et envisagé sous l’angle du rapport investissement / degré de risque.