Blog

Comment faire un audit de sécurité informatique ?

De nombreuses entreprises considèrent l’audit en général, et l’audit de sécurité en particulier comme un processus stressant et intrusif : l’idée qu’un auditeur se promène dans les locaux, en distrayant tout le monde et en s’immisçant dans les activités quotidiennes de l’entreprise les rebute souvent au point de renoncer à conduire des audits.

Alors, quelle est l’utilité réelle de ces audits ? Comment procéder ? Réponses dans cet article.

 

À quoi sert un audit de sécurité informatique ?

De plus, l’utilité même des audits est parfois remise en question : une évaluation régulière des risques n’est-elle pas suffisante pour élaborer une stratégie de sécurité et assurer la protection des données sensibles ? D’ailleurs, puisque les entreprises sont désormais soumises à des règles de conformité concernant la sécurité des données privées, elles sont de toute façon amenées à être confrontées à un audit officiel un jour ou l’autre.

Ne serait-il donc pas préférable d’attendre plutôt que de réaliser soi-même un audit de sécurité informatique ?

Non : les audits sont très utiles, car ils sont pourvoyeurs de bénéfices pour une entreprises. Les audits permettent en effet :

  • D’établir une base de référence en matière de sécurité : les résultats des audits menés au fil des ans servent de référence fiable pour évaluer les performances en matière de sécurité.
  • De vérifier la bonne application des réglementations et des bonnes pratiques de sécurité : un audit permet de s’assurer que les mesures de cybersécurité mises en place dans l’entreprise sont appliquées et suivies à la lettre.
  • Déterminer l’état de la sécurité et formuler une stratégie pour l’avenir : l’audit démontre une situation à un instant T, de manière beaucoup plus détaillée qu’une simple évaluation des risques. Il ne se contente pas de mettre en évidence des éléments manquants, mais prend également en compte les processus existants et montre pourquoi et comment ils doivent être améliorés.

Dans l’ensemble, l’audit est un outil utile pour évaluer la cybersécurité ou s’assurer que l’entreprise est prête pour un audit de conformité.

 

Qu’est-ce qu’un audit de sécurité ?

Un audit de sécurité est une évaluation complète du système d’information d’une entreprise : en règle générale, cette évaluation mesure la sécurité d’un système informatique au regard d’une liste des meilleures pratiques, de normes extérieures établies ou de réglementations légales.

Un audit de sécurité complet évaluera les contrôles de sécurité d’une organisation concernant les éléments suivants :

  • les composants physiques du système d’information
  • l’environnement dans lequel le système est hébergé.
  • les applications et les logiciels (y compris les correctifs de sécurité que les administrateurs systèmes ont déjà mis en œuvre.)
  • les vulnérabilités du réseau (y compris les évaluations des informations lorsqu’elles circulent entre différents points à l’intérieur et à l’extérieur du réseau de l’organisation)
  • la dimension humaine, par exemple la façon dont les employés recueillent, partagent et stockent les informations sensibles.
Qu’est-ce qu’un audit de sécurité ?

1. Définir la portée de l’audit de sécurité informatique

La première chose à faire est de définir la portée de l’audit : qu’il s’agisse de vérifier l’état général de la sécurité dans l’entreprise ou de réaliser un audit spécifique à la sécurité du réseau, il faut savoir ce qui doit être examiné et ce qui doit être ignoré.

Pour ce faire, il faut tracer un périmètre aussi réduit que possible et inclure tous les biens de valeur que possédés par l’entreprise et qui doivent être protégés. L’audit devra contrôler tout ce qui se trouve à l’intérieur de ce périmètre, sans toucher ce qui ne s’y trouve pas.

Pour définir le périmètre de sécurité il suffit de faire la liste de tous les biens que possède l’entreprise. C’est une tâche ardue, car les entreprises omettent souvent des éléments clés comme la documentation interne, détaillant les politiques et procédures de l’entreprise. On pense (à tort) que ces documents n’ont aucune valeur pour un potentiel attaquant, mais ces informations sont précieuses pour l’entreprise elle-même, et si ces documents sont perdus ou détruits (par exemple, en raison d’une panne matérielle, d’une erreur d’un employé ou d’un piratage), il faudra du temps et de l’argent pour tout recommencer.

 

2. Définir les menaces auxquelles l’entreprise est confrontée

Une fois le périmètre de sécurité établi avec précision, il faut créer la liste des menaces auxquelles les données contenues dans ce dernier sont confrontées. Il faut essayer de trouver un juste équilibre entre la probabilité d’une menace et l’impact qu’elle aurait si elle se produisait.

Par exemple, l’éventualité une catastrophe naturelle est relativement faible, mais peut s’avérer dévastatrice : elle doit donc être incluse dans la liste.

Voici une liste des menaces les plus courantes, qu’il faut inclure dans la plupart des cas :

Catastrophes naturelles

Comme mentionné ci-dessus, bien que ce soit quelque chose qui se produise rarement, les conséquences d’une telle menace peuvent être énormes : mieux faut s’y préparer, juste au cas où.

Les logiciels malveillants / le hacking

Les attaques de pirates constituent sans doute l’une des plus grandes menaces pour la sécurité des données et doivent toujours être prises en compte dans un audit de sécurité.

Ransomware

Ce type de logiciel malveillant a gagné en popularité ces dernières années, et mérite sa propre puce dans cette liste, surtout si l’entreprise opère dans le secteur de la santé, de l’éducation ou des finances.

Attaques par déni de service

L’essor de l’internet des objets a entraîné une augmentation des réseaux de « zombies ». Les attaques par déni de service sont désormais plus répandues et plus dangereuses que jamais. Si l’entreprise dépend d’un service réseau ininterrompu, il faut y songer.

Le personnel malveillant

Il s’agit d’une menace que les entreprises ne prennent pas toujours au sérieux, mais à laquelle toutes sont confrontées : les employés (ou les fournisseurs tiers) ayant accès au parc informatique peuvent facilement divulguer ou utiliser des données à mauvais escient, sans qu’on ne puisse le détecter. Là encore,  mieux vaut y être préparé et l’inclure à la liste de menaces.

L’erreur humaine

Toutes les fuites de données ne sont pas menées dans une intention malveillante : il existe aussi des employés maladroits, ou incompétents / inconscients susceptibles de commettre une erreur et divulguer les données par accident. C’est même devenu courant, et c’est donc un risque à prendre en compte.

Phishing

Cela rejoint le point précédent : un pirate peut tenter d’accéder à un réseau en ciblant des employés, à l’aide de techniques d’ingénierie sociale, les incitant à donner volontairement leurs identifiants de connexion.

Il s’agit d’une menace à ne pas prendre à la légère.

Phishing

3. Calculer les risques de cybersécurité

Une fois la liste des menaces potentielles auxquelles les données incluses dans le périmètre peuvent être confrontées, il convient d’évaluer le risque de chacune de ces menaces.

Cette évaluation donnera « un prix » à chaque menace et permettra d’établir des priorités concernant les points de sécurité à renforcer. Pour ce faire, il faut prendre en compte :

Le passé

Le fait d’avoir déjà rencontré une menace spécifique (ou non) peut avoir un impact sur la probabilité de la rencontrer à l’avenir. Si l’entreprise a déjà été la cible d’un piratage ou d’une attaque par déni de service, il y a des chances que cela se reproduise.

Le présent

Quelles sont les tendances actuelles en matière de cybersécurité ? Quelles menaces sont de plus en plus populaires ou fréquentes ? Existe-t-il de nouvelles menaces émergentes ? Quelles sont les meilleures solutions de sécurité actuelles ?

L’environnement

Est-ce que les concurrents directs font l’objet d’attaques, quelles sont les menaces auxquelles ce secteur est confronté ?

Par exemple, si vous travaillez dans le secteur de la santé, vous serez davantage inquiété par des attaques de phishing ou à des ransomwares, alors que si vous êtes commerçant les attaques par déni de service ou d’autres logiciels malveillants sont plus à craindre.

Effectuer les contrôles

4. Contrôler la sécurité informatique de l’entreprise

Une fois les risques associés à chaque menace dûment établis, c’est l’étape finale : créer une liste de contrôles de sécurité à mettre en place. Si des contrôles sont en place il faut peut-être les améliorer, s’il n’en existe aucun répondant à une menace, il faut le mettre en place.

Les mesures de sécurité les plus courantes sont les suivantes :

La sécurité physique des serveurs

Si l’entreprise possède ses propres serveurs, il faut absolument sécuriser l’accès physique à ceux-ci.

Dans le même temps, tous les appareils connectés de l’entreprise doivent voir leurs mots de passe par défaut modifiés et leur accès physique sécurisé afin d’éviter toute tentative de piratage.

Sauvegarde des données

La sauvegarde des données est très efficace en cas de catastrophe naturelle, ou d’attaque par un logiciel malveillant qui corrompt ou bloque l’accès aux données (ransomware).

Toutes les sauvegardes doivent être faites aussi fréquemment que possible, et accompagnées d’une procédure de restauration.

Pare-feu et anti-virus

C’est de la cybersécurité élémentaire, mais il faut protéger le réseau avec des pare-feu correctement configurés, et les ordinateurs avec des anti-virus.

Filtre anti-spam

Un filtre anti-spam peut s’avérer utile pour lutter contre les attaques de phishing et les logiciels malveillants envoyés par courrier.

Même si les employés sont correctement formés, et savent qu’il ne faut pas cliquer sur des liens contenus dans un email suspect, il vaut mieux être prudent.

Contrôle d’accès

Il existe plusieurs façons de contrôler les accès et il est préférable de les mettre toutes en place. Tout d’abord, il faut contrôler le niveau de privilège des utilisateurs et adopter le principe du « moindre privilège » lors de la création de nouveaux comptes.

En outre, l’authentification à deux facteurs est devenue indispensable, car elle renforce considérablement la sécurité des connexions et permet de savoir qui a accédé aux données, et quand.

Sensibilisation des employés

Afin de protéger l’entreprise contre les attaques de phishing, pour réduire la fréquence des erreurs, et s’assurer que les procédures de sécurité sont respectées, il est préférable de former les employés à la cybersécurité.

Informer les employés des menaces qui pèsent sur eux et sur leur entreprise, ainsi que les mesures mises en place pour lutter contre ces menaces. Sensibiliser les employés est un excellent moyen de les faire passer d’un « point faible » à une force.

 

Conclusion

Vous connaissez désormais les différents points à étudier pour auditer la sécurité informatique de votre entreprise.

Vous avez identifié des failles ? Des experts en cybersécurité peuvent vous aider à mieux sécuriser votre système d’information et repérer les faiblesses de votre réseau. Postez votre annonce gratuitement sur Codeur.com pour recevoir leurs devis.