L’audit de sécurité informatique est une des premières démarches à entreprendre pour identifier vos failles de sécurité et protéger ainsi le quotidien de vos collaborateurs, vos données et vos systèmes d’information (SI).
En effet, comment concevoir votre politique de sécurité sans une vision claire et globale de votre niveau de sécurité actuel, sans avoir analysé à un instant T l’état de vos SI ? Faille de sécurité, mise à jour non effectuée, problème de configuration, manque de sensibilisation… de nombreuses causes de failles sont à considérer au sein même de votre organisation. Il représente donc le point de départ de l’identification des problèmes de sécurité et éventuelles vulnérabilités auxquelles votre entreprise est exposée.
Pourquoi réaliser un audit de sécurité informatique ?
L’audit de sécurité est un processus méthodique, indépendant et documenté, permettant d’obtenir des preuves objectives tout en les évaluant de manière impartiale, pour déterminer dans quelle mesure les critères d’audit sont satisfaits. Ainsi, un audit permet d’établir une revue, un inventaire, un état des lieux complet de la sécurité d’un SI audité.
La crise sanitaire liée à la pandémie de COVID-19 a accéléré la digitalisation des entreprises et a radicalement transformé l’environnement numérique. Ces bouleversements ont été, de fait, exploités par les cyberattaquants via, par exemple et de façon non exhaustive, des campagnes d’hameçonnage de masse ou ciblées, des exploitations de vulnérabilités non corrigées, des exploitations d’accès distants peu ou non sécurisés… leur offrant un terrain de jeux plus étendus et empli de joueurs non parfaitement sensibilisés aux risques existants. L’audit est l’un des moyens d’éprouver un SI et de s’assurer de son niveau de sécurité.
Chaque organisation se doit de sécuriser son SI de façon adaptée et proportionnée. Réaliser des audits de sécurité sur des périmètres ciblés permet de se prémunir d’éventuelles vulnérabilités, de connaître ses forces et faiblesses – pour les corriger ou les assumer – mais surtout de savoir se situer dans la mise en place de sa politique de sécurité.
Comment se déroule un audit de sécurité informatique ?
Un audit de sécurité est construit autour de trois phases de réalisation. La première phase est celle de l’initialisation où le commanditaire (celui qui commande l’audit), l’audité et l’auditeur définissent clairement les limites de l’audit, son périmètre et les modalités d’exécution. Cette étape est alors suivie de la réalisation où les travaux techniques et/ou organisationnels sont réalisés pour finalement laisser place à la dernière étape, la restitution. Celle-ci prend forme par la rédaction du rapport d’audit contenant la synthèse des résultats obtenus, les différents points observés, les contre-mesures, les préconisations et, bien sûr, le plan d’action pour remédier aux vulnérabilités découvertes.
Chaque auditeur se doit d’avoir une attention particulière sur la qualité rédactionnelle de ses travaux. En effet, le rapport issu de l’audit se doit d’être rigoureux, pertinent, précis, méthodique et pragmatique. Chaque audit réalisé doit être une source de haute valeur ajoutée et d’une qualité irréprochable au meilleur de l’état de l’art dans le domaine concerné de la prestation.
À quel périmètre et types d’entreprise s’adresse un audit de sécurité ?
LAN de l’entreprise, web, on-premise, cloud, sécurité physique des locaux… Selon le référentiel des Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI) de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), concernant les audits de sécurité, différentes activités peuvent être considérées : l’audit d’architecture, de configuration, l’audit organisationnel et physique, la revue de code source ou encore les tests d’intrusion. Chacun de ces audits couvre un aspect de la cybersécurité au travers d’un périmètre donné. Un audit de sécurité peut donc s’appliquer à tout périmètre. Il suffit au préalable d’en définir clairement les limites et le contour.
Les risques cyber n’épargnent dorénavant plus aucune entreprise ou secteur d’activité, et ceci quel que soit le nombre de salariés. Dans le cadre d’une politique de sécurité, la réalisation d’un audit de sécurité informatique demeure indispensable pour toutes les entreprises, de la TPE-PME à la grande industrie. Cette démarche préventive permettra de déceler les principales failles de l’infrastructure et de son parc informatique.
Un audit de sécurité peut-il impacter le bon fonctionnement de votre entreprise ?
Même si les tests techniques sont non destructifs – n’impliquant aucune interruption de service, aucune modification ou suppression de données, ils peuvent néanmoins perturber le fonctionnement nominal des systèmes, infrastructures et applications ciblés – malgré une expérience et méthodologie d’exécution éprouvée.
Parmi les perturbations éventuelles, la surconsommation de bande passante, des équipements sollicités subissant des difficultés comportementales, la disponibilité applicative engendrant des crashs et instabilités sont à considérer sur la période donnée de l’audit. Cependant, il est important de noter que les audits de sécurité sont réalisés par du personnel compétent et qualifié, et que chaque outil est qualifié en laboratoire interne avant d’être utilisé sur un SI de production.
Avant tout audit de sécurité, il est bien évidemment conseillé de prévoir des sauvegardes de données (annuaires, bases de données, etc.). Enfin, des environnements dédiés aux audits, alignés sur la production, sont conseillés pour assurer que l’ensemble des tests effectués n’aient aucun impact sur le business de votre entreprise.
Comment être sûr que les résultats rencontrés ne seront pas divulgués ?
Les prestataires qualifiés PASSI – Prestataires d’Audit de la Sécurité des Systèmes d’Information – répondent aux différentes exigences de l’ANSSI, dont notamment une exigence de déontologie et une garantie de la confidentialité des données échangées et évaluées. En plus de vous garantir une approche éthique de leurs équipes expertes.
L’ANSSI parle, en effet, de l’évaluation de la confiance. Que ce soit pour les produits ou pour les services, la confiance est évaluée dans le cadre d’un processus de qualification et de son suivi. Les cabinets de conseil qualifiés PASSI s’engagent ainsi à respecter sur le long terme un ensemble de critères et responsabilités pris auprès de l’ANSSI – tel que le maintien des compétences pour les sociétés de services.
Vous êtes alors assurés que toutes les failles, vulnérabilités ou autres découvertes lors de l’audit ne seront pas divulguées en dehors des personnes autorisées à en avoir connaissance.
Cybersécurité : ne reportez plus, lancez-vous !
Un audit de sécurité de l’entreprise est souvent nécessaire avant de conclure un accord, que ce soit pour un contrat d’assurance ou une étape de due diligence lors d’une levée de fonds. Grâce à l’audit de sécurité, les parties prenantes ont un aperçu de l’état de sécurité de la société et des éventuelles menaces pouvant peser sur le fonctionnement de l’entreprise – vol de données, chiffrement, coupure de service… – et par définition sur sa valorisation.
Mais il est important de rappeler qu’un audit de sécurité est un instantané du SI analysé. Cette photo est une représentation du SI à un moment précis, qui ne permet pas de suivre l’évolution des environnements – cohabitation de différents environnements, d’infrastructures cloud et on-premise… – ni des usages faits par les utilisateurs – ouverture de brèche de sécurité à leur insu au travers du phénomène de Shadow IT par exemple. Évaluer, patcher, prévenir et sensibiliser… Dans le contexte cyber actuel, pour sécuriser pleinement vos données sensibles et environnements de travail, la cybersécurité doit être pensée dans sa globalité.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));
Cliquez ici pour lire l’article depuis sa source.