Catégorie : Sécurité

La sensibilisation des utilisateurs à la sécurité sur le web est essentielle pour protéger votre entreprise contre les individus malveillants et pour prévenir d’éventuelles attaques. En réalité, vos employés sont souvent les cibles principales des attaques informatiques en raison de leur manque de connaissances dans ce domaine. En les formant, vous érigez ainsi des défenses solides autour de votre environnement informatique.

Les options pour former vos employés

Il existe plusieurs options pour former vos employés aux risques de cyberattaques :

1. Élaborez une charte informatique synthétisant les meilleures pratiques et la politique de sécurité interne.

2. Sensibilisez vos collaborateurs au fait qu’ils travaillent pour une entreprise détenant des informations sensibles, les plaçant ainsi en première ligne pour y accéder.

3. Rappellez les conséquences potentielles d’une telle attaque sur l’entreprise, comme évoqué précédemment.

4. Formez votre personnel aux meilleures pratiques et aux réflexes adéquats grâce à l’intervention d’un consultant informatique spécialisé.

5. Organisez une séance de “live-hacking” (simulation d’une attaque) pour apprendre à vos employés à réagir en cas de cyberattaque.

Ces sessions peuvent être complétées par une évaluation des connaissances acquises, voire par une certification à la fin de la formation. Il est préférable de maintenir une formation continue pour rester informé des menaces actuelles et des bonnes pratiques à adopter pour les contrer.

 

Les différentes catégories de menaces :

Il existe trois catégories de menaces auxquelles la cybersécurité fait face :

1. La cybercriminalité implique des individus isolés ou des groupes qui ciblent des systèmes informatiques dans le but de réaliser des gains financiers ou de provoquer des perturbations.
2. Les cyberattaques sont souvent liées à la collecte d’informations à des fins politiques.
3. Le cyberterrorisme vise à perturber les systèmes électroniques pour semer la panique ou la peur.

Cependant, comment ces acteurs malveillants parviennent-ils à compromettre les systèmes informatiques ? Grâce aux malwares

• Les programmes malveillants, aussi connus sous le nom de malwares, désignent des logiciels conçus par des cybercriminels ou des pirates informatiques pour perturber ou endommager les ordinateurs des utilisateurs. Ils sont souvent propagés via des pièces jointes d’e-mails non sollicités ou des téléchargements qui semblent sûrs. Les cybercriminels utilisent les malwares pour générer des profits ou pour mener des attaques politiques.

Les cyberattaques sont en constante évolution. Êtes-vous prêt ? Évaluez gratuitement votre niveau de protection avec Value IT et obtenez des recommandations personnalisées pour renforcer votre sécurité. Cliquez pour démarrer !

Les différents types de malwares :

Il existe différents types de malwares, notamment :

• Les virus : des programmes capables de se dupliquer, qui s’attachent à des fichiers sains et se propagent dans l’ensemble du système en infectant d’autres fichiers avec un code malveillant.
• Les chevaux de Troie : des logiciels malveillants qui se font passer pour des applications légitimes, piégeant ainsi les utilisateurs qui les téléchargent dans le but de collecter des données ou de causer des dommages.
• Les logiciels espions (spyware) : des programmes espions qui enregistrent secrètement les activités des utilisateurs au profit des cybercriminels, tels que la collecte de coordonnées bancaires.
• Les rançongiciels (ransomware) : des malwares qui verrouillent les fichiers et les données de l’utilisateur, menaçant de les supprimer si une rançon n’est pas payée.
• Les logiciels publicitaires (adware) : des logiciels publicitaires qui peuvent être utilisés pour propager d’autres malwares.
• Les botnets : des réseaux d’ordinateurs infectés par des malwares, que les cybercriminels peuvent utiliser pour effectuer des activités en ligne sans le consentement de l’utilisateur.

👉Protégez vos systèmes informatiques, contactez-nous ! 

Depuis un certain temps, Il est indéniable que les cybercriminels font preuve d’une grande ingéniosité. Par conséquent, de nouvelles méthodes émergent constamment, ce qui souligne l’importance d’une sensibilisation continue de vos équipes. Néanmoins, certaines techniques demeurent inchangées au fil du temps :

1. Phishing/Ransomware : Ces attaques consistent à envoyer des e-mails contenant des liens malveillants à tous ou à certains employés, incitant ces derniers à changer leur mot de passe ou à divulguer des informations confidentielles. Pour se protéger, il est essentiel d’enseigner à vos employés à distinguer les e-mails légitimes des frauduleux.
2. Vol de mots de passe par piratage informatique : Vous pouvez réduire les risques de piratage en activant l’authentification à deux facteurs et en choisissant des mots de passe à haut niveau de sécurité, qu’il convient de changer régulièrement.
3. Infection de sites Web légitimes par des virus : Pour prévenir cette menace, il est essentiel d’apprendre à vos employés à identifier ces sites compromis et à adopter les bonnes pratiques pour minimiser les risques.
4. Exploitation de vulnérabilités d’applications en raison de mises à jour manquantes : L’éducation de vos équipes sur l’importance des mises à jour régulières des applications est essentielle pour éviter cette menace.
5. Utilisation de connexions Wi-Fi gratuites sans VPN, exposant ainsi le réseau à des failles de sécurité : Vous pouvez réduire ces risques en informant vos employés sur les bonnes pratiques de connexion.
6. Infection via des périphériques amovibles comme les clés USB : La sensibilisation de vos équipes est cruciale pour éviter ce type de menace.
7. Injection SQL : Il s’agit d’une attaque visant à contrôler et à voler des données d’une base de données en exploitant les vulnérabilités dans les applications orientées données. Les cybercriminels insèrent du code malveillant via des déclarations SQL malveillantes pour accéder à des données sensibles. La sécurité des applications doit être renforcée pour prévenir cela.
8. Attaques de phishing : Le phishing consiste à envoyer des e-mails semblant provenir d’entreprises légitimes pour solliciter des informations sensibles. Ces attaques visent généralement à tromper les utilisateurs pour obtenir leurs coordonnées bancaires et d’autres informations personnelles.
9. Attaque de l’homme du milieu : Il s’agit d’une cybermenace qui consiste à intercepter la communication entre deux individus pour voler des données, par exemple, en utilisant un réseau Wi-Fi non sécurisé.
10. Attaque par déni de service : Cette attaque vise à surcharger les réseaux et les serveurs avec du trafic malveillant, empêchant ainsi le système de répondre aux requêtes légitimes. Elle peut paralyser les activités essentielles de l’entreprise.

 

Les cyberattaques sont en constante évolution. Êtes-vous prêt ? Évaluez gratuitement votre niveau de protection avec Value IT et obtenez des recommandations personnalisées pour renforcer votre sécurité. Cliquez pour démarrer !

 

Les récentes menaces cybernétiques

Voici les dernières menaces signalées par les gouvernements britannique, américain et australien.

Malware Dridex

En décembre 2019, le ministère de la Justice américain a accusé le dirigeant d’un groupe de cybercriminels organisés pour son implication dans une attaque mondiale mettant en jeu le malware Dridex. Cette campagne a eu un impact sur le grand public, les gouvernements, les infrastructures et les entreprises à l’échelle mondiale.

Dridex est un cheval de Troie bancaire. Apparu en 2014, il infecte les ordinateurs par le biais d’e-mails de phishing ou de malwares préexistants. Capable de dérober des mots de passe, des coordonnées bancaires et des données personnelles pouvant être utilisées à des fins de transactions frauduleuses, il a entraîné d’énormes pertes financières se chiffrant en centaines de millions de dollars.

En réponse à ces attaques Dridex, le Centre national de cybersécurité britannique recommande au public de “veiller à ce que leurs appareils soient à jour, que leur antivirus soit activé et à jour, et de sauvegarder leurs fichiers”.

Arnaques sentimentales

En février 2020, le FBI a alerté les citoyens américains sur les escroqueries perpétrées par des cybercriminels sur les sites de rencontres, les salons de discussion et les applications. Les auteurs de ces arnaques profitent des individus à la recherche de nouveaux partenaires en les abusant pour obtenir leurs informations personnelles.

Le FBI a signalé que ces arnaques sentimentales ont touché 114 victimes au Nouveau-Mexique en 2019, causant une perte financière de 1,6 million de dollars.

Malware Emotet

Fin 2019, le Centre de cybersécurité australien a mis en garde les organisations nationales contre une menace cybernétique mondiale impliquant le malware Emotet.

Emotet est un cheval de Troie sophistiqué capable de voler des données et de télécharger d’autres malwares. Emotet prospère grâce à l’utilisation de mots de passe faibles, soulignant ainsi l’importance de créer des mots de passe robustes pour se protéger contre les menaces cybernétiques.

 

👉Contactez-nous pour lutter contre ces menaces !

Les menaces cybernétiques continuent de progresser rapidement à l’échelle mondiale, provoquant une augmentation constante des violations de données chaque année. Un rapport de Risk Based Security a mis en lumière des statistiques saisissantes, révélant que, rien qu’au cours des neuf premiers mois de 2019, plus de 7,9 milliards de données ont été exposées, ce qui représente une augmentation de 112 % par rapport à la même période en 2018.

Les secteurs les plus touchés sont les services médicaux, les détaillants et les institutions publiques, principalement en raison de l’activité des cybercriminels. Certains de ces secteurs sont particulièrement attractifs pour les cybercriminels en raison de la nature des données financières et médicales qu’ils collectent, mais toutes les entreprises, quel que soit leur secteur, sont potentiellement vulnérables en raison de la valeur des données de leurs clients, des risques d’espionnage industriel ou d’attaques directes contre leurs clients.

Face à la croissance exponentielle des menaces cybernétiques, l’International Data Corporation (IDC) prévoit que les dépenses mondiales en solutions de cybersécurité atteindront un montant colossal de 133,7 milliards de dollars d’ici 2022. Les gouvernements du monde entier réagissent à cette montée en mettant en place des directives pour aider les entreprises à adopter des pratiques de cybersécurité efficaces.

Aux États-Unis, le National Institute of Standards and Technology (NIST) a élaboré un cadre de cybersécurité visant à lutter contre la prolifération de logiciels malveillants et à favoriser la détection précoce en recommandant une surveillance continue et en temps réel de toutes les ressources électroniques.

L’importance de cette surveillance est mise en évidence par les « 10 étapes pour garantir la cybersécurité », un ensemble de conseils fournis par le National Cyber Security Centre au Royaume-Uni. De même, l’Australian Cyber Security Centre (ACSC) en Australie publie régulièrement des directives pour aider les entreprises à se protéger contre les dernières menaces cybernétiques.

Ces menaces en matière de sécurité informatique ont connu une augmentation significative pendant la période de confinement, en grande partie en raison du passage soudain au télétravail et de l’ouverture accrue des systèmes informatiques. Cela a été exacerbé par un manque de sensibilisation des employés à la cybersécurité, ce qui a entraîné une multiplication par trois des cyberattaques contre les institutions financières, comme le rapporte le bureau d’études spécialisé VMware Carbon Black.

Il est important de noter que les banques ne sont pas les seules entreprises touchées par cette menace, toutes les entreprises sont potentiellement vulnérables. En l’absence de mesures de sécurité adéquates, ces entreprises s’exposent à des demandes de rançon, à la perte de données sensibles, à des bugs informatiques perturbant leur activité, et à d’autres conséquences graves pour leur réputation et leur sécurité financière.

La cybersécurité est vaste : sécurité réseaux, sécurité des applications, sécurité des informations, sécurité opérationnelle, sécurité sur le web… La formation des utilisateurs aux risques cyber est donc un point clé de la sécurité des systèmes d’information.

👉Pour en savoir plus, contactez nous !

Comment les entreprises et les individus peuvent-ils se défendre contre les menaces cybernétiques ?

Voici nos conseils essentiels en matière de sécurité informatique :

1. Effectuez régulièrement les mises à jour de vos logiciels et de votre système d’exploitation pour bénéficier des derniers correctifs de sécurité.
2. Utilisez un logiciel antivirus, qui détecte et élimine les menaces. Veillez à maintenir votre antivirus à jour pour une protection optimale.
3. Créez des mots de passe robustes pour éviter qu’ils ne soient facilement devinés.
4. Ne pas ouvrir les pièces jointes d’e-mails provenant d’expéditeurs inconnus, car elles pourraient contenir des logiciels malveillants.
5. Évitez de cliquer sur les liens contenus dans les e-mails provenant d’utilisateurs ou de sites inconnus, car cela est souvent utilisé pour propager des logiciels malveillants.
6. Méfiez-vous des réseaux Wi-Fi non sécurisés dans les lieux publics, car ils vous exposent aux attaques de type “homme du milieu”.

👉Pour mettre en place un logiciel antivirus et appliquer ces conseils : Contactez-nous ! 

Pourquoi et comment sensibiliser vos collaborateurs ?

La période de confinement imposée en raison de la pandémie de Covid-19 a contraint de nombreuses entreprises à ouvrir subitement leur système informatique pour permettre le télétravail. Cette ouverture, combinée à un niveau de formation insuffisant des employés, a entraîné d’importantes vulnérabilités en matière de sécurité. Cela a constitué une opportunité pour les cybercriminels. Aujourd’hui, même si le télétravail n’est pas au cœur de vos pratiques, vous demeurez exposés aux risques de cyberattaques. Pour vous protéger contre la cybercriminalité, il n’y a rien de plus efficace que de sensibiliser vos employés à la cybersécurité.

Pour en savoir plus sur l’importance de la sensibilisation cybersécurité de vos équipes : Cliquez ici.

 

Les cyberattaques sont en constante évolution. Êtes-vous prêt ? Évaluez gratuitement votre niveau de protection avec Value IT et obtenez des recommandations personnalisées pour renforcer votre sécurité. Cliquez pour démarrer !

Le dispositif France Relance comporte différents volets, dont l’un est consacré au renforcement du niveau de cybersécurité des organismes au service des citoyens : collectivités territoriales, administrations, établissements de santé… L’objectif est simple : protéger ces organismes contre les risques de cyberattaques et pouvoir les contrer. Pour ce faire, le gouvernement français a confié à  l’Autorité Nationale en matière de Sécurité et de Défense des Systèmes d’Information (ANSSI) un budget de 136 M€.

Chaque parcours cybersécurité permet d’atteindre un objectif de cybersécurité de façon progressive, mesurable et adaptée à chaque établissement.
La mise en oeuvre de ce dispositif d’accompagnement se décline en 3 phases.

• Un pré-diagnostic, réalisé par l’ANSSI, va orienter le bénéficiaire vers le parcours cybersécurité le plus adapté à ses besoins et ses enjeux. Par la suite, l’ANSSI passe le relais au prestataire terrain afin de mettre en place les premières mesures de sécurisation du pack initial.
• Un état des lieux général (Pack initial)
  •Etat des lieux organisationnel et plan de sécurisation
  •Sensibilisation des administrateurs du SI, des équipes du service achat
  •Cartographie des zones de vulnérabilités
  •Accompagnement MOE : mise en œuvre urgente de sécurisation opérationnelle
• Le plan de sécurisation (Pack relais) : Un ou plusieurs accompagnements complémentaires et ciblés sont proposés aux bénéficiaires du volet cybersécurité afin d’approfondir certaines actions de sécurisation et déployer des solutions de sécurité.
  •Le prestataire terrain met en œuvre des mesures de cybersécurité et met à jour la feuille de route du bénéficiaire
  •Le cyberscore du bénéficiaire défini au moment de la phase d’état des lieux est alors actualisé

—

Ce parcours de cybersécurité (Plan France Relance) vous intéresse et vous souhaitez profiter de l’aide de l’Etat pour renforcer votre niveau de cybersécurité ? N’hésitez pas à nous contacter ! Nommé prestataire terrain par l’ANSSI, VALUE IT vous propose un accompagnement personnalisé et vous apporte les réponses à toutes vos questions (financement, limite de candidature, modalités d’inscription…)

De nombreuses entreprises sont perdues face à la multitude d’actions qui devraient être mises en place pour se protéger. Alors qu’en réalité, les risques peuvent être considérablement réduits en mettant en œuvre des actions simples. Des actions ponctuelles réalisées en l’absence d’une démarche systématique n’auront pas d’efficacité sur le long terme. Sécuriser son système d’information sous-entend une démarche structurée ainsi qu’une approche systématique de moyen terme.

 

L’un des défis de la mise en œuvre d’un plan de sécurité est véritablement d’orchestrer de manière globale la mise en œuvre d’une multitude d’actions sur l’ensemble du parc informatique de l’entreprise.  Dans le but de favoriser une mise en œuvre cohérente et ordonnée, il est important d’identifier les grands domaines sur lesquels agir.

Ces leviers peuvent être regroupés au sein des domaines suivants :

• Les réseaux et les accès internet
• Le poste de travail
• La messagerie
• Les droits utilisateurs et les mots de passe
• La sensibilisation des utilisateurs
• Les sauvegardes
• Le plan de reprise en cas d’attaque

Partie 1 : Les 7 leviers pour sécuriser votre système d’information

1 – Sécuriser les réseaux et les accès internet

Maîtriser les accès internet avec une passerelle sécurisée

Une passerelle Internet sécurisée permettra de filtrer ou de bloquer les contenus dangereux pourront être filtrés ou bloqués, et ainsi empêcher des fuites de données (Filtrage des URL, détection et blocage des logiciels malveillants, contrôle des demandes…)

Sécuriser les accès WIFI

Plusieurs mesures sont à prendre :

• Mettre en place un système d’authentification (mot de passe, ou confirmation par un administrateur)
• Cacher le SSID aux utilisateurs externes
• Bien choisir l’emplacement du point d’accès wifi (au cœur de l’entreprise, et non près des fenêtres)
• Limiter la portée du point d’accès wifi (restreindre l’accès aux seuls murs de l’entreprise)

Cloisonner le système d’information pour limiter le risque de propagation

Pour limiter le risque de propagation, il convient de mettre en place un ou plusieurs dispositifs de filtrage permettant un cloisonnement entre les différentes zones réseaux plus ou moins critiques du système d’information.

2 – Sécuriser les postes de travail

Activer un pare-feu local

Le pare-feu doit permet de ralentir ou limiter l’action d’un acteur malveillant ayant réussi à prendre le contrôle d’un des postes de travail.

Utiliser et mettre à jour les logiciels antivirus

Les antivirus sont à installer sur les postes. Ils doivent être mis à jour régulièrement pour assurer une protection efficace. Il est important de veiller à la mise à jour des signatures et du moteur du logiciel et de lancer l’analyse régulièrement sur les espaces de stockage des fichiers de l’entité.

Il faut appliquer les correctifs de sécurité des programmes utilisés, dès qu’ils sont disponibles. Un process de mise à jour des logiciels doit être mis en place pour s’assurer que les mises à jour sont faites régulièrement.

3 – Sécuriser les messageries

Il est possible d’équiper le serveur de messagerie mail de l’entreprise d’un logiciel de protection avancé, un anti-spam pour lutter contre le phishing, un anti-virus, un anti-malware.

4 – Gérer les droits utilisateurs et les mots de passe

Favoriser une politique d’usage de mots de passe

Il est important de mettre en place une politique de mots de passe complexes et de veiller à son application.  Cette politique de mot de passe pourra également impliquer un changement fréquent et inciter à utiliser des mots de passe distincts.

Mettre en place une authentification à double facteur

Les solutions d’authentification permettent de confirmer les connexions en envoyant un code sur un deuxième appareil, de sorte que connaître le mot de passe ne suffit pas pour se connecter.

Limiter les droits des utilisateurs et les autorisations des applications

La première règle d’or est que les utilisateurs ne soient pas administrateurs de leur poste de travail. Ceci rend impossible l’installation de logiciels et l’exécution involontaire de codes malveillants.

Une autre bonne pratique consiste à dédier et à limiter les comptes d’administration sur les ressources du système d’information et à mettre en place des postes de travail dédiés à l’administration, sans accès à Internet.

5 – Sensibiliser les collaborateurs à la cybersécurité

Les meilleures politiques de sécurité ne sont rien, si les utilisateurs n’ont pas les bons réflexes pour choisir des mots de passe complexes, bien utiliser leur messagerie, reconnaître les spams et les mails de phishing. La sensibilisation pourra se faire via des ateliers, des formations, et des actions visant à faire de la sécurité une véritable compétence professionnelle.

6 – Sauvegarder les données et les mettre en lieu sûr

En cas d’incident grave, la sauvegarde permettra à l’entreprise de poursuivre son activité.

Mettre en place une sauvegarde des données réclame une réflexion méthodique :

• Identifier les données à sauvegarder et en particulier les données dites critiques.
• Déterminer le rythme des sauvegardes, en fonction des pertes maximales acceptables
• Choisir le ou les supports et les emplacements adaptés pour sécuriser la sauvegarde
• Faire des tests de restauration des supports de sauvegarde pour vérifier leur fonctionnement

7 – Préparer un plan de reprise en cas d’incident de sécurité

Ce plan aura plusieurs objectifs :

• Réagir rapidement pour limiter la propagation de l’attaque
• Identifier rapidement la ou les vulnérabilités et les corriger
• Rétablir les activités business au plus vite, grâce à un plan de continuité ou de reprise
• Minimiser les pertes financières et de réputation

Partie 2 – Parvenir à sécuriser l’entreprise dans la durée

Tous ces leviers permettent de réduire les risques et permettront à une entreprise de pouvoir poursuivre en cas d’incident de sécurité. Pour autant, la mise en œuvre de ces leviers représente un défi. Car la sécurité est un sujet qui doit être géré dans la durée.

Tenir à jour l’inventaire des équipements et les cartographies des systèmes

L’arrivée de nouveaux collaborateurs, l’ouverture de nouveaux sites, la mise en place de nouvelles applications …. Le système d’informations évolue au quotidien. Sans une cartographie mise à jour, il n’est pas possible de vérifier que la sécurité du système d’information reste efficace. Ce bilan doit être mis à jour régulièrement, au moins deux fois par an.

Accompagner les utilisateurs dans la durée   

Trop d’entreprises se contentent d’actions ponctuelles pour sensibiliser les utilisateurs aux bonnes pratiques de sécurité. Pour réellement créer des réflexes, il faut répéter, répéter, répéter. Il est donc essentiel de concevoir un plan de moyen terme pour développer ces compétences. Certaines entreprises conçoivent des formations mensuelles online, auxquelles les salariés doivent participer et valider un examen de passage.

Evaluer régulièrement le niveau de sécurité d’une entreprise

Les meilleures politiques de sécurité réclament d’être réévaluées régulièrement. Tout simplement pour s’assurer que la pratique est conforme à la politique et pour identifier de nouveaux risques ou de nouvelles vulnérabilités. Une évaluation de sécurité biannuelle est essentielle pour s’assurer que les moyens de sécurité restent adaptés aux menaces de l’entreprise.

Créer un poste de RSSI et ancrer la sécurité au niveau de la direction générale

Définir la politique de sécurité dans l’entreprise, vérifier la mise en place des mesures de protection, animer le déploiement, réévaluer la sécurité…. Sont des tâches permanentes qui peuvent représenter une charge de travail importante. De plus, le succès de la mise en œuvre d’une politique suppose une implication de l’ensemble des collaborateurs de l’entreprise. Les entreprises peuvent ainsi envisager la création d’un poste de RSSI pour porter cette responsabilité. Et en tout état de cause, cette démarche réclamera un engagement fort de la Direction Générale pour réellement impliquer l’ensemble des collaborateurs.

 

Un prestataire spécialisé en sécurité pourra accompagner de manière globale une PME dans la mise en œuvre de son plan de sécurisation, tant sur le volets préventif – réseaux, poste de travail, mots de passe, messageries –  que sur le volet réactif – Sauvegarde et Plan de reprise d’activité.

 

Source : Guide ANSSI

LA CYBERSÉCURITÉ POUR LES TPE/PME EN 12 QUESTIONS

Les attaques récentes incitent de nombreuses entreprises à s’interroger sur leur exposition réelle aux risques de cyberattaque. Et face à l’offre pléthorique d’audits, il n’est pas toujours facile de s’y retrouver. Alors quels sont les objectifs d’un audit de sécurité informatique ? Comment se déroule un audit ? Et que peut-on attendre d’un audit ?

Audit de sécurité informatique : comprendre les objectifs et sa finalité

D’une manière générale, un audit de sécurité informatique a trois objectifs principaux :

• Evaluer le niveau de risque auquel est exposée une entreprise
• Identifier les vulnérabilités du système d’information
• Renforcer la sécurité de son système grâce à des actions correctrices

Au-delà du simple constat, un audit de sécurité informatique doit être orienté vers la mise en place d’actions qui permettront d’améliorer la sécurité du système d’information.

Un audit de sécurité informatique est toujours une mission d’évaluation de conformité par rapport à une politique de sécurité existante ou s’il n’en existe pas, par rapport un ensemble de règles de sécurité.

L’audit vise à évaluer le niveau d’application de ces règles sur le système d’information par rapport aux règles qui devraient être effectivement appliquées selon la politique de sécurité définie.

Le processus d’audit de sécurité informatique est un processus cyclique, par lequel l’entreprise réévalue périodiquement la conformité de ses pratiques par rapport au référentiel qu’elle s’est donnée.

Comment se déroule un audit de sécurité informatique ?

Un audit se déroule généralement selon 6 étapes :

• Le cadrage de l’audit
• La préparation de l’audit
• L’audit organisationnel
• L’audit technique
• l’audit intrusif ou test d’intrusions
• Le rapport final et le plan d’action

1  –  Le cadrage de l’audit de sécurité informatique

Le cadrage de l’audit vise à préciser les objectifs de l’audit, le périmètre à auditer, les limites et les modalités de l’intervention ainsi que les livrables.  Ce cadrage donne lieu à la rédaction d’une charte d’audit.

Le périmètre inclut généralement :

• Le parc informatique dans son ensemble : matériels, logiciels et les applications
• Les dispositifs de sécurité tels que les antivirus, les pare-feu, les antispam, et leur efficacité.
• Les procédures de sécurité et les règles concernant les droits d’accès à l’information
• Le système de sauvegarde, qui est l’une des pièces essentielles de la sécurisation d’une entreprise et servira à redémarrer en cas d’attaque ou d’incident de sécurité.

2 – La préparation de l’audit de sécurité informatique

Cette phase va permettre de donner le cadre général et les axes à suivre lors de l’audit terrain. Plusieurs objectifs doivent être définis :

– réaliser des entretiens avec les responsables opérationnels afin d’identifier leurs attentes vis-à-vis de l’audit

– définir le planning de réalisation de la mission de l’audit

– identifier les personnes qui seront amenées à répondre au questionnaire d’audit

– planifier l’audit organisationnel et physique, l’audit technique et le cas échéant les test d’intrusion 

3 – L’audit organisationnel et physique

L’objectif visé par cette étape est donc d’avoir une vue globale de l’état de sécurité du système d´information et d´identifier les risques potentiels sur le plan organisationnel.

Dans cette étape, l’auditeur va s’intéresser à deux volets :

– l’aspect physique du système d’information – les matériels, le réseau, les systèmes présents sur les différents sites,

– la gestion et l’organisation de la sécurité, sur le plan des procédures.

L’auditeur suit des questionnaires pré-établis permettant d’appréhender les pratiques en termes de sécurité. L’auditeur va pouvoir apprécier le niveau de maturité en termes de sécurité de l’organisation auditée, identifier les failles ainsi que la conformité par rapport à la norme prise en référence pour l’audit.

4 – L’audit technique

L’audit technique est réalisé suivant une approche méthodique allant de la découverte et la reconnaissance du réseau audité jusqu’au sondage des services réseaux actifs et vulnérables. Cette analyse mettra en évidence les failles et les risques, et les conséquences d’intrusions ou de manipulations illicites de données.

L’auditeur pourra apprécier l’écart avec les réponses obtenues lors des entretiens. Il testera aussi la robustesse de la sécurité du système d’information et sa capacité à préserver les aspects de confidentialité, d’intégrité, de disponibilité et d’autorisation.

Compte-tenu de la quantité de composants à vérifier, l’auditeur a recours à des outils permettant d’automatiser les vérifications, tels que des outils de reconnaissance des équipements, de tests automatiques de vulnérabilités du réseau, ou de tests de solidité de sécurité.

L’auditeur doit veiller à ce que les tests réalisés ne viennent pas gêner l’activité de l’entreprise ni la continuité de service du système audité.

5 : les tests de pénétration ou simulation d’attaques

Ces tests sont des mises en situation qui visent à simuler une attaque et à voir quels pourraient être les dégâts causés à l’entreprise.

Ces tests peuvent être réalisés par des auditeurs qui n’ont que peu d’informations sur le système audité. (On parle de boîte noire, boîte blanche ou boîte grise selon les informations dont ils disposent).

Là aussi, l’auditeur doit veiller à ne pas provoquer de dommages, ni de perturbations pour l’organisation auditée. Ces tests d’intrusion doivent aussi être réalisés dans le respect d’une charte de déontologie stricte, qui est décrite dans la charte de l’audit.

6 : Le rapport final et le plan d’action

Le rapport de synthèse doit permettre à l’entreprise de comprendre les risques principaux et prioriser les actions à mettre en place.

Le rapport final comporte donc :

• les résultats de l’ensemble des tests réalisés et la liste des vulnérabilités détectées.
• une évaluation des vulnérabilités permettant de classifier les problèmes
• des propositions d’actions correctrices

Face à la quantité de vulnérabilités remontées, il est essentiel de pouvoir synthétiser et dégager des priorités d’action. Les vulnérabilités seront classées selon 3 critères :

• l’impact business potentiel si cette vulnérabilité était exploitée par un attaquant
• la difficulté à exploiter cette vulnérabilité (niveau de compétences ou besoin en matériel)
• le coût nécessaire pour réparer cette vulnérabilité.

Audit de sécurité informatique : réussir la mise en œuvre dans la durée

L’audit de sécurité informatique, s’il permet d’identifier les mesures à prendre, ne constitue qu’une étape. S’ensuit la mise en œuvre et le suivi du plan d’action recommandé.

Le plan d’action pourra comporter 3 grands volets :

• le volet technique : il comporte la mise en place de nouveaux dispositifs de sécurité
• le volet organisationnel concerne les règles de sécurité : politique de mots de passe, droits des utilisateurs, mais aussi la création d’un poste de RSSI par exemple.
• le volet humain, quant à lui, cherche à inscrire dans la durée les bonnes pratiques sur la manière dont les utilisateurs gèrent la sécurité au quotidien dans leur métier

L’évolution des organisations, des parcs matériels et des menaces impose aux entreprises de réévaluer régulièrement leur niveau d’exposition. Une évaluation de sécurité biannuelle par un auditeur externe semble essentielle pour assurer que les moyens de sécurité restent adaptés aux menaces de l’entreprise.

Les entreprises souhaitant s’engager dans une démarche volontaire de sécurisation de leur système d’information, auront intérêt à se rapprocher de prestataires ayant une spécialisation en sécurité.

Ces prestataires pourront apporter leur expertise pour réaliser l’audit de sécurité informatique mais aussi accompagner l’entreprise dans la mise en œuvre d’un plan global de sécurisation du système d’information.