Les attaques récentes incitent de nombreuses entreprises à s’interroger sur leur exposition réelle aux risques de cyberattaque. Et face à l’offre pléthorique d’audits, il n’est pas toujours facile de s’y retrouver. Alors quels sont les objectifs d’un audit de sécurité informatique ? Comment se déroule un audit ? Et que peut-on attendre d’un audit ?

Audit de sécurité informatique : comprendre les objectifs et sa finalité

D’une manière générale, un audit de sécurité informatique a trois objectifs principaux :

• Evaluer le niveau de risque auquel est exposée une entreprise
• Identifier les vulnérabilités du système d’information
• Renforcer la sécurité de son système grâce à des actions correctrices

Au-delà du simple constat, un audit de sécurité informatique doit être orienté vers la mise en place d’actions qui permettront d’améliorer la sécurité du système d’information.

Un audit de sécurité informatique est toujours une mission d’évaluation de conformité par rapport à une politique de sécurité existante ou s’il n’en existe pas, par rapport un ensemble de règles de sécurité.

L’audit vise à évaluer le niveau d’application de ces règles sur le système d’information par rapport aux règles qui devraient être effectivement appliquées selon la politique de sécurité définie.

Le processus d’audit de sécurité informatique est un processus cyclique, par lequel l’entreprise réévalue périodiquement la conformité de ses pratiques par rapport au référentiel qu’elle s’est donnée.

Comment se déroule un audit de sécurité informatique ?

Un audit se déroule généralement selon 6 étapes :

• Le cadrage de l’audit
• La préparation de l’audit
• L’audit organisationnel
• L’audit technique
• l’audit intrusif ou test d’intrusions
• Le rapport final et le plan d’action

1  –  Le cadrage de l’audit de sécurité informatique

Le cadrage de l’audit vise à préciser les objectifs de l’audit, le périmètre à auditer, les limites et les modalités de l’intervention ainsi que les livrables.  Ce cadrage donne lieu à la rédaction d’une charte d’audit.

Le périmètre inclut généralement :

• Le parc informatique dans son ensemble : matériels, logiciels et les applications
• Les dispositifs de sécurité tels que les antivirus, les pare-feu, les antispam, et leur efficacité.
• Les procédures de sécurité et les règles concernant les droits d’accès à l’information
• Le système de sauvegarde, qui est l’une des pièces essentielles de la sécurisation d’une entreprise et servira à redémarrer en cas d’attaque ou d’incident de sécurité.

2 – La préparation de l’audit de sécurité informatique

Cette phase va permettre de donner le cadre général et les axes à suivre lors de l’audit terrain. Plusieurs objectifs doivent être définis :

– réaliser des entretiens avec les responsables opérationnels afin d’identifier leurs attentes vis-à-vis de l’audit

– définir le planning de réalisation de la mission de l’audit

– identifier les personnes qui seront amenées à répondre au questionnaire d’audit

– planifier l’audit organisationnel et physique, l’audit technique et le cas échéant les test d’intrusion 

3 – L’audit organisationnel et physique

L’objectif visé par cette étape est donc d’avoir une vue globale de l’état de sécurité du système d´information et d´identifier les risques potentiels sur le plan organisationnel.

Dans cette étape, l’auditeur va s’intéresser à deux volets :

– l’aspect physique du système d’information – les matériels, le réseau, les systèmes présents sur les différents sites,

– la gestion et l’organisation de la sécurité, sur le plan des procédures.

L’auditeur suit des questionnaires pré-établis permettant d’appréhender les pratiques en termes de sécurité. L’auditeur va pouvoir apprécier le niveau de maturité en termes de sécurité de l’organisation auditée, identifier les failles ainsi que la conformité par rapport à la norme prise en référence pour l’audit.

4 – L’audit technique

L’audit technique est réalisé suivant une approche méthodique allant de la découverte et la reconnaissance du réseau audité jusqu’au sondage des services réseaux actifs et vulnérables. Cette analyse mettra en évidence les failles et les risques, et les conséquences d’intrusions ou de manipulations illicites de données.

L’auditeur pourra apprécier l’écart avec les réponses obtenues lors des entretiens. Il testera aussi la robustesse de la sécurité du système d’information et sa capacité à préserver les aspects de confidentialité, d’intégrité, de disponibilité et d’autorisation.

Compte-tenu de la quantité de composants à vérifier, l’auditeur a recours à des outils permettant d’automatiser les vérifications, tels que des outils de reconnaissance des équipements, de tests automatiques de vulnérabilités du réseau, ou de tests de solidité de sécurité.

L’auditeur doit veiller à ce que les tests réalisés ne viennent pas gêner l’activité de l’entreprise ni la continuité de service du système audité.

5 : les tests de pénétration ou simulation d’attaques

Ces tests sont des mises en situation qui visent à simuler une attaque et à voir quels pourraient être les dégâts causés à l’entreprise.

Ces tests peuvent être réalisés par des auditeurs qui n’ont que peu d’informations sur le système audité. (On parle de boîte noire, boîte blanche ou boîte grise selon les informations dont ils disposent).

Là aussi, l’auditeur doit veiller à ne pas provoquer de dommages, ni de perturbations pour l’organisation auditée. Ces tests d’intrusion doivent aussi être réalisés dans le respect d’une charte de déontologie stricte, qui est décrite dans la charte de l’audit.

6 : Le rapport final et le plan d’action

Le rapport de synthèse doit permettre à l’entreprise de comprendre les risques principaux et prioriser les actions à mettre en place.

Le rapport final comporte donc :

• les résultats de l’ensemble des tests réalisés et la liste des vulnérabilités détectées.
• une évaluation des vulnérabilités permettant de classifier les problèmes
• des propositions d’actions correctrices

Face à la quantité de vulnérabilités remontées, il est essentiel de pouvoir synthétiser et dégager des priorités d’action. Les vulnérabilités seront classées selon 3 critères :

• l’impact business potentiel si cette vulnérabilité était exploitée par un attaquant
• la difficulté à exploiter cette vulnérabilité (niveau de compétences ou besoin en matériel)
• le coût nécessaire pour réparer cette vulnérabilité.

Audit de sécurité informatique : réussir la mise en œuvre dans la durée

L’audit de sécurité informatique, s’il permet d’identifier les mesures à prendre, ne constitue qu’une étape. S’ensuit la mise en œuvre et le suivi du plan d’action recommandé.

Le plan d’action pourra comporter 3 grands volets :

• le volet technique : il comporte la mise en place de nouveaux dispositifs de sécurité
• le volet organisationnel concerne les règles de sécurité : politique de mots de passe, droits des utilisateurs, mais aussi la création d’un poste de RSSI par exemple.
• le volet humain, quant à lui, cherche à inscrire dans la durée les bonnes pratiques sur la manière dont les utilisateurs gèrent la sécurité au quotidien dans leur métier

L’évolution des organisations, des parcs matériels et des menaces impose aux entreprises de réévaluer régulièrement leur niveau d’exposition. Une évaluation de sécurité biannuelle par un auditeur externe semble essentielle pour assurer que les moyens de sécurité restent adaptés aux menaces de l’entreprise.

Les entreprises souhaitant s’engager dans une démarche volontaire de sécurisation de leur système d’information, auront intérêt à se rapprocher de prestataires ayant une spécialisation en sécurité.

Ces prestataires pourront apporter leur expertise pour réaliser l’audit de sécurité informatique mais aussi accompagner l’entreprise dans la mise en œuvre d’un plan global de sécurisation du système d’information.