Un audit de sécurité peut être technique (tests d'intrusion, revue de code) ou organisationnel (conformité réglementaire, processus). Il suit une méthodologie structurée : planification, collecte de preuves, analyse des écarts, rapport de recommandations. Les audits peuvent être internes (auto-évaluation) ou externes (certification, conformité réglementaire). Ils produisent généralement un rapport avec une notation des risques et un plan d'action priorisé.