PAROLE D’EXPERT : L’AUDIT DE SÉCURITÉ.

[ Article mis à jour le 29 janvier 2020 ]

La sensibilisation à la SSI est une des pierres angulaires de la cybersécurité. Petite piqure de rappel sur l’Audit de sécurité à l’occasion du Forum international de la Cybersécurité (FIC) qui se déroule du 28 au 30 janvier 2020 – Lille Grand Palais.

La cybersécurité repose, entre autres, sur la sensibilisation des utilisateurs mais également sur celle des décideurs. L’information et l’éducation des utilisateurs et décideurs se doivent d’être dans la feuille de route de tout RSSI qui se doit également d’avoir une vision claire des faiblesses de son organisation.

Pour cette nouvelle édition du FIC, Synetis met en exergue son activité Audit en présentant son savoir-faire en matière d’audits de sécurité (approche offensive et défensive) mais également ses succès de missions Redteam (approche logique et de proximité) qui sont la suite logique des audits de sécurité.

L’audit de sécurité (tout comme la mission Redteam) participe à la confiance globale d’une organisation et permet de connaître les faiblesses d’une organisation. Ces prestations permettent également de définir les axes de sensibilisation à dispenser auprès des utilisateurs, des développeurs voire des décideurs.

En matière de SSI (Sécurité des Systèmes d’Information), pour toute organisation, la sécurité doit être un enjeu capital de gouvernance. Selon Antoine COUTANT, Practice Manager de l’activité Audit chez Synetis, dans les années à venir, la menace cyber ne va pas vraiment évoluer mais elle va devenir davantage ingénieuse et surtout de plus en plus fréquente.

Face à la multiplication des cyberattaques et des menaces de plus en plus sophistiquées et ciblées, il est malheureusement constaté que certaines organisations peuvent encore être particulièrement vulnérables sur des questions de cybersécurité. Synetis, avec une approche offensive et défensive, est en mesure d’accompagner PME et grandes entreprises de la conception à l’implémentation jusqu’au maintien en condition opérationnelle de leurs environnements de sécurité.

« Ingénieur en Calcul Scientifique, je travaille depuis septembre 2000 dans le domaine de la sécurité informatique (cryptographie, SSI, développements logiciels, etc.). Je suis rompu aux techniques SSI, à la R&D, au renseignement de source ouverte ainsi qu’aux évaluations et audits de sécurité. Mon crédo : anticiper pour ne pas subir.»
Antoine COUTANT – Practice Manager Audit – Synetis

| Qu’est-ce qu’un audit de sécurité et pourquoi en réaliser un ?

Dans sa pièce de théâtre « Le Cid », Corneille écrit que « le trop de confiance attire le danger ». Cette phrase illustre parfaitement la façon dont la SSI doit être perçue. En effet, fermer les yeux est le meilleur moyen de ne pas voir arriver le danger, ni les problèmes. Ainsi, réaliser des audits de sécurité sur des périmètres ciblés permet de se prémunir de cet état de fait, de connaître ses faiblesses (pour les corriger ou les assumer) mais surtout de se rassurer en matière de SSI.

Selon la norme ISO 19011, un audit est un processus méthodique, indépendant et documenté permettant d’obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure des critères préalablement définis sont satisfaits. Par définition, une évaluation est l’estimation de l’efficacité de mesures par rapport à des objectifs.

Ainsi, un audit permet d’établir une revue, un inventaire, un état des lieux. Il existe différents types d’audit : audit comptable, audit des systèmes de management, audit de sécurité.

Selon le référentiel des prestataires d’audit de la sécurité des systèmes d’information (PASSI) de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), concernant les audits de sécurité, différentes activités peuvent être considérées : l’audit d’architecture, de configuration, la revue de code source, les tests d’intrusion, l’audit organisationnel et physique et enfin l’audit de systèmes industriels. Chacun de ces audits couvre un aspect de la cybersécurité sur une cible.

En sécurité informatique, la règle d’or est de ne jamais faire confiance aux utilisateurs. Au-delà de la sensibilisation (qui devrait être mandatory pour chaque utilisateur), allons plus loin encore et inversons les rôles : dans quelle mesure les utilisateurs peuvent-ils faire confiance au système d’information sur lequel ils travaillent et évoluent ?

Pour répondre à cette question, il apparaît nécessaire de challenger ce système d’information, de colmater les éventuelles failles ou, si le risque est accepté, de connaître ses faiblesses.

| Est-il possible d’aller plus loin que l’audit de sécurité ?

Pour réaliser une attaque cyber, il existe trois voies différentes : la voie informatique, la voie cognitive ou la voie physique. Synetis est à même de réaliser une prestation dédiée selon chacune de ces voies. Notons que l’Humain est clairement le maillon faible (alors que, paradoxalement, il est aussi l’élément essentiel…), ainsi l’ingénierie sociale est une méthode qui prend de plus en plus d’ampleur.

En complément des prestations classiques d’audit de sécurité, Synetis réalise aussi des missions de type Redteam qui consistent à challenger la capacité de détection et de réponse à incident, en mettant à l’épreuve les infrastructures physiques, techniques ainsi que des collaborateurs d’une organisation. Le Redteam est une suite logique des activités d’audits de sécurité.

L’approche Redteam de Synetis vise à simuler des attaques réalistes (non-destructives), pour éprouver en profondeur la sécurité d’un périmètre donné. Cette approche permet de gagner en efficacité et de mener des scénarios d’attaques avancés (intrusion logique, ingénierie sociale, phishing, etc.).

En matière de Redteam, après une étape non offensive de collecte d’informations sur la cible visée (étape d’OSINT), la démarche de Synetis consiste en un audit offensif suivi d’une phase d’ingénierie sociale puis d’attaques de proximité et/ou physiques.

| Quelle est la réponse de Synetis ?

Synetis se positionne comme un partenaire de proximité capable d’accompagner ses clients dès la phase d’expression de besoins jusqu’au déploiement opérationnel. Son activité d’audit est en mesure d’intervenir sur l’ensemble des domaines de l’audit de sécurité (tels que définis par l’ANSSI) mais également sur des missions plus pointues telles que le Redteam, l’accompagnement ou la qualification et gestion des vulnérabilités. Enfin, inclus dans son activité d’audit, Synetis offre également une démarche CSIRT (Computer Security Incident Response Team) qui permet de gérer les risques, de rédiger des procédures mais aussi de communiquer, à travers des lettres mensuelles, les problématiques techniques dans une configuration managériale.

En particulier, Synetis veille à maintenir une équipe compétente, motivée et surtout capable d’objectivité, sans conflit d’intérêt. En matière d’audit de sécurité, Synetis adopte une approche méthodique, éthique et white-hat*.

Les auditeurs de Synetis réalisent une veille technologique quotidienne, rédigent des articles dans des magazines spécialisés, participent et créent de nombreux challenges mais sont aussi actifs dans le monde de la cybersécurité ; notamment sur de nombreux programmes de Bug Bounty où ils sont classés dans les Top 5.

Synetis accompagne ses clients pour mieux prendre en compte le problème de la SSI, à savoir, de façon cyclique, se connaître, s’estimer, s’assurer et se rassurer. Choisir Synetis, c’est s’assurer de choisir des experts du domaine au sein d’une équipe motivée, aux compétences affirmées et reconnues. Riche d’une expertise et d’un savoir-faire aussi bien fonctionnel que technologique, Synetis offre une démarche complète combinant l’offensif avec le défensif.

Synetis – Parole d’expert© – Septembre 2019

Retrouvez les membres de l’équipe Synetis sur le Stand A4 du 28 au 30 janvier 2020 au Forum International de la Cybersécurité | Lille Grand Palais. #FIC2020