| AUDIT SSI

Tout ce que vous avez toujours voulu savoir à propos d’un audit de sécurité informatique

L’audit de sécurité informatique est la première démarche à entreprendre pour identifier vos failles de sécurité et mieux sécuriser vos collaborateurs et vos systèmes d’information. En effet, comment concevoir votre politique de sécurité sans une vision claire et globale de votre niveau de sécurité actuel ? 

L’audit de sécurité informatique est une analyse à un instant T de l’état de votre système d’information. Faille de sécurité, mise à jour non effectuée, problème de configuration, de nombreuses sources peuvent être sujettes à générer des problèmes de sécurité dans votre organisation. Il représente donc le point de départ de l’identification des problèmes de sécurité et des éventuelles vulnérabilités auxquelles votre entreprise est exposée. 

Découvrez dans cet article tout ce que vous devez savoir sur l’audit de sécurité d’un système d’information.

Pourquoi réaliser un audit de sécurité informatique ?

Pour répondre à cette question, Antoine COUTANT – Practice Manager Audits SSI & CERT définit l’audit de sécurité comme un « processus méthodique, indépendant et documenté, permettant d’obtenir des preuves objectives et de les évaluer de manière impartiale pour déterminer dans quelle mesure les critères d’audit sont satisfaits ». Ainsi, cet audit permet d’établir une revue, un inventaire, un état des lieux de la sécurité du SI.

La crise sanitaire liée à la pandémie de la COVID-19 a accéléré la digitalisation des entreprises et a radicalement transformé l’environnement numérique. Ces bouleversements ont été, de fait, exploités par des cyber attaquants via, par exemple et de façon non exhaustive, des campagnes d’hameçonnage spécifiques ou ciblées, des exploitations de vulnérabilités non corrigées, des exploitations d’accès distants peu, pas ou mal sécurisés, etc.
Chaque organisation se doit de sécuriser son SI de façon adaptée et proportionnée. L’audit est l’un des moyens d’éprouver un SI et de s’assurer de son niveau de sécurité.

Réaliser des audits de sécurité (test d’intrusion, recherche de failles de sécurité) sur des périmètres ciblés permet alors de se prémunir des éventuelles vulnérabilités, de connaître ses forces et faiblesses (pour les corriger ou les assumer) mais surtout de savoir se situer dans la mise en œuvre de sa politique de sécurité. 

Comment se déroule un audit de sécurité informatique ?

Un audit de sécurité est construit autour de trois phases de réalisation.
  1. La première phase est celle de l’initialisation où le commanditaire (qui commande l’audit), l’audité et l’audit définissent clairement les limites de l’audit, son périmètre, les modalités d’exécution.
  2. La phase suivante est celle de la réalisation, où les travaux techniques et/ou organisationnels sont réalisés.
  3. Enfin, la dernière phase, celle de restitution, est dédiée à la rédaction du rapport d’audit ainsi qu’à une présentation en séance au commanditaire et à l’audité de la synthèse des résultats obtenus, les différents points observés, les contre-mesures et préconisations ainsi que le plan d’action.
Chaque auditeur se doit d’avoir une attention particulière sur la qualité rédactionnelle de ses travaux. Notre expert Practice Manager Audits SSI & CERT insiste : « Le rapport issu de l’audit se doit d’être rigoureux, pertinent, précis, méthodique et pragmatique. Chaque audit réalisé doit être une source de haute valeur ajoutée et d’une qualité irréprochable au meilleur de l’état de l’art dans le domaine concerné de la prestation ».

Besoin de conseils pour sécuriser votre entreprise ?

À quel périmètre s'adresse un audit de sécurité (LAN de l'entreprise, web, on-premise, cloud, sécurité physique des locaux) ?

Selon le référentiel des Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI) de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), concernant les audits de sécurité, différentes activités peuvent être considérées :

  • l’audit d’architecture,
  • l’audit de configuration,
  • la revue de code source,
  • les tests d’intrusion,
  • l’audit organisationnel et physique
  • l’audit de systèmes industriels.

Chacun de ces audits couvre un aspect de la cybersécurité au travers d’un périmètre donné. Un audit de sécurité peut donc s’appliquer à tout périmètre. Il suffit au préalable d’en définir clairement les limites, le contour. Chez Synetis, nous sommes qualifiés PASSI et nous vous accompagnons sur tous ces périmètres d’audit avec notre équipe d’experts reconnus.

Combien de temps dure un audit de sécurité informatique ?

En fonction de la portée de l’audit, de la taille et de la complexité de l’organisation auditée, la durée de l’audit de sécurité varie de deux jours à quelques semaines. « La plupart des audits de type tests de pénétration que nous réalisons pour les organisations de taille intermédiaire prennent en moyenne 5 jours », explique Antoine COUTANT – Practice Manager Audits SSI & CERT chez Synetis.

Un audit de sécurité est-il adapté à tout type d'entreprise ?

Les risques cyber n’épargnent plus aucune entreprise ou secteur d’activité, et ceci quel que soit le nombre de salariés. Alors dans le cadre d’une politique de sécurité, la réalisation d’un audit de sécurité informatique demeure indispensable pour toutes les entreprises, de la TPE-PME à la grande industrie. 

Cette démarche préventive permettra de déceler les principales failles dans l’infrastructure et le parc informatique de l’organisation.

Est-ce qu'un audit de sécurité peut impacter l'outil de production de mon entreprise ?

Même si les tests techniques sont non destructifs (aucune interruption de service, aucune modification ou suppression de données), ils peuvent perturber le fonctionnement nominal des systèmes, infrastructures et applications ciblés, malgré une expérience et méthodologie d’exécution éprouvée.

« Parmi les perturbations éventuelles, on peut noter la surconsommation de bande passante, des équipements sollicités subissant des difficultés comportementales, la disponibilité applicative engendrant des crashs et instabilités », souligne Antoine COUTANT.

Avant tout audit de sécurité, il est au préalable conseillé de prévoir des sauvegardes de données (annuaires, bases de données, snapshot, etc.).

Enfin, des environnements dédiés aux audits, alignés sur la production (appelé également environnement isopérimètre), sont aussi conseillés pour assurer l’ensemble des tests sans impact. 

Comment puis-je être sûr que les problèmes rencontrés ne seront pas divulgués ?

En tant que prestataire qualifié PASSI pour Prestataires d’audit de la sécurité des systèmes d’information, Synetis répond aux différentes exigences de l’ANSSI, dont notamment une exigence de déontologie et une garantie de la confidentialité des données échangées et évaluées.

Pour cela, l’ANSSI parle de l’évaluation de la confiance. Que ce soit pour les produits ou pour les services, la confiance est évaluée dans le cadre d’un processus de qualification et de son suivi. Synetis s’engage ainsi à respecter sur le long terme tout un ensemble de critères pris auprès de l’ANSSI.

  • pour les produits : confidentialité et protection des données confiées par l’utilisateur du produit ou du service, correction des failles et vulnérabilités, etc.
  • pour les services : maintien des compétences, etc.

Vous êtes alors assuré que toutes les failles, vulnérabilités ou autres découvertes lors de l’audit ne seront pas divulguées en dehors des personnes autorisées pour en connaître.

Est-ce qu'un audit de sécurité a une valeur légale ?

L’audit de sécurité est incontournable pour avoir une vision claire de son système d’information et ainsi mettre en place des actions préventives et curatives. Il est important de rappeler qu’un audit de sécurité est un instantané du système d’information analysé, un instantané. Cette photo est donc une représentation du SI à un moment précis, qui ne permet pas de suivre l’évolution des environnements (cohabitation de différents environnements d’infrastructures cloud et on-premise…) ni des usages faits par les utilisateurs (ouverture de brèche de sécurité possible à leur insue au travers du phénomène de shadow it).

Que ce soit pour un contrat d’assurance ou une étape de due diligence lors d’une levée de fonds, un audit de sécurité de l’entreprise est souvent nécessaire avant de conclure un accord. Grâce à l’audit de sécurité, les parties prenantes ont un aperçu de l’état de sécurité de la société et des éventuelles menaces pouvant peser sur le fonctionnement de l’entreprise (vol de données, chiffrement, coupure de service) et par définition sur sa valorisation.

L’audit de sécurité informatique, en résumé.

Comme nous venons de le voir, l’audit de sécurité est un processus méthodique, indépendant, documenté et rigoureux. Il participe à la confiance globale d’une organisation en termes de cybersécurité et permet de connaître ses faiblesses en matière de sécurité.

Chez Synetis, nous sommes auditeurs qualifiés PASSI ce qui vous garantit la qualité de nos prestations ainsi que l’approche éthique de nos équipes expertes. 

  • Post published:3 février 2022
  • Auteur/autrice de la publication :