Si vous avez commencé à vous questionner sur la cybersécurité de votre entreprise, il est très probable que vous soyez tombés sur cette recommandation : « faites donc un audit de sécurité ! ». Mais en vous renseignant un peu plus, vous avez été submergés par les détails techniques ou les propositions variées : pentest (ou test d’intrusions), audit certifiant, Risk assessment (ou analyse de risques), scan de vulnérabilités… la liste est longue.
Certes, l’audit est un outil très utile : bien employé, il permet d’évaluer votre niveau de maturité cyber ou votre niveau de conformité par rapport à une norme, de définir un plan d’actions pour la montée en maturité et une stratégie cyber globale, d’établir les budgets de la sécurité du système d’informations, de rassurer vos clients et vos partenaires, et pourquoi pas d’obtenir une certification.
Encore faut-il choisir le bon ! Pour vous aider, voici un petit récapitulatif des différents types d’audit de sécurité.
I. Les audits organisationnels de sécurité informatique
Ce type d’audit vise à évaluer les différentes pratiques de sécurité de l’entreprise. C’est l’audit le plus complet : il doit couvrir l’intégralité du périmètre du système d’information. Il comprend les mesures de sécurité les plus techniques (sécurité réseau, sécurité des postes de travail et serveurs…) aux mesures de gouvernance (comités et responsabilités en termes de sécurité informatique), les objectifs de formation et les processus dans leur ensemble.
Ces audits se font généralement toujours de la même manière : une première étape, qui permet à l’auditeur de parcourir la documentation de l’organisation ; puis une seconde étape, qui constitue la phase pratique de l’audit où l’auditeur vérifie que les processus et la documentation sont bien appliqués, en étudiant les preuves et en s’entretenant avec les équipes.
Ces audits se subdivisent en général en deux catégories : les audits de conformité et les audits de maturité.
A. Les audits de conformité de sécurité informatique
L’audit de conformité vise à évaluer si les systèmes informatiques et les processus d’une organisation respectent les réglementations et les normes en matière de sécurité. Ces réglementations et normes peuvent être obligatoires pour toutes les entreprises (comme le RGPD qui concerne de fait 99% des entreprises), ne s’appliquer à une organisation que si elle remplit certains critères de taille ou de secteur (PCI DSS, CMMC), être réclamée par un client grand compte ou être librement choisie par l’entreprise afin de démontrer son engagement en termes de sécurité (ISO /IEC 27001).
Ces audits vérifient donc la conformité d’une entreprise à un ensemble de mesures décrites dans les normes, les règlements et les référentiels concernés.
Voici quelques exemples des normes et réglementations pertinentes en matière de SSI :
- Le RGPD (Règlement Général sur la Protection des Données), entré en application le 25 mai 2018, est une réglementation européenne sur la protection des données personnelles (c’est-à-dire « toute information se rapportant à une personne physique identifiée ou identifiable »). Ce règlement vise à renforcer et à unifier la protection des données des résidents de l’Union européenne (UE). Le RGPD établit des règles strictes concernant la collecte, le traitement, la conservation et la sécurité des données personnelles. Il impose également des obligations aux organisations, telles que la notification des violations de données, le consentement explicite pour le traitement des données, le droit à l’oubli et le droit d’accès aux données personnelles. Les organisations traitant des données personnelles d’individus de l’UE doivent se conformer au RGPD, sous peine de lourdes amendes. Dans les faits, toutes les entreprises ou presque sont concernées, puisque même si elles ne traitent pas les données personnelles sensibles de leurs clients, elles traitent au moins celles de leurs salariés !
- L’ISO/IEC 27001 est une norme internationale pour la mise en place d’un SMSI, un système de management de la sécurité de l’information. Sous cette tournure un peu barbare se cache simplement un ensemble de processus et de mesures de sécurité à mettre en place afin de s’assurer que la sécurité de l’information sera traitée dans le temps long et améliorée continuellement. Cette norme fournit donc un cadre de bonnes pratiques pour établir, mettre en œuvre, maintenir et améliorer un SMSI au sein d’une organisation. L’ISO 27001 met l’accent sur l’identification des risques de sécurité de l’information et la mise en place de mesures appropriées pour les atténuer. Elle comprend des domaines tels que la politique de sécurité, la gestion des actifs, la gestion des risques, la sécurité physique et environnementale, la gestion des communications et des opérations, ou la conformité légale. Le but de cette norme n’est pas de sanctionner un niveau de sécurité mais plutôt, d’amener une démarche globale de progrès et d’engagement en matière de sécurité. Elle est certifiante : en étant auditée par un auditeur accrédité, l’entreprise peut obtenir un certificat qui atteste de son respect de la norme. C’est l’une des normes les plus demandées par les clients et les partenaires lorsque l’organisation n’est pas déjà soumise à une réglementation spécifique en matière de sécurité de l’information.
- Le NIST Framework Cybersécurité ou encore le NIST Framework for Improving Critical Infrastructure Cybersecurity, développé par le National Institute of Standards and Technology (NIST) aux États-Unis, est un cadre de référence pour la cybersécurité largement utilisé par les organisations d’importances aux Etats-Unis et par les grandes banques françaises. Il fournit des directives et des bonnes pratiques pour la gestion des risques de cybersécurité au sein des organisations. Le cadre NIST se compose de cinq fonctions principales : identifier, protéger, détecter, répondre et récupérer. Il aide les organisations à évaluer leur posture de sécurité, à identifier les vulnérabilités et à mettre en place des mesures pour améliorer leur résilience face aux menaces et aux attaques. Il ne donne pas droit à une certification mais peut faire l’objet d’une demande d’audit interne par un client ou un partenaire qui souhaiterait vérifier son application au sein de l’organisation. Il est extrêmement complet, ce qui le rend parfois un peu lourd à manipuler.
- Le CMMC (Cybersecurity Maturity Model Certification) est un modèle de certification de maturité en cybersécurité développé par le Département de la Défense des États-Unis (DoD). Il vise à renforcer la sécurité de l’information dans la chaîne d’approvisionnement du DoD. Ainsi, une entreprise française souhaitant contractualiser avec un prestataire du DoD pourrait devoir mettre en place les mesures du CMMC. Le CMMC définit différents niveaux de maturité en cybersécurité, allant du niveau de base (1) au plus avancé (3), en fonction des contrôles et des pratiques de sécurité mis en place par les organisations. Les entreprises souhaitant soumissionner pour des contrats gouvernementaux du DoD doivent obtenir la certification correspondante au type d’informations traitées par l’entreprise : les Controlled Unclassified Information (CUI) et/ou les Federal Contract Information (FCI).
- L’HIPAA (Health Insurance Portability and Accountability Act) est une législation américaine qui vise à protéger les données de santé des individus. Elle établit des règles strictes pour la confidentialité, la sécurité et la protection des informations de santé identifiables (Protected Health Information – PHI). Les entités concernées par la HIPAA, telles que les fournisseurs de soins de santé, les compagnies d’assurance maladie et les prestataires de services de santé, doivent mettre en place des mesures de sécurité appropriées pour protéger les données de santé et respecter les droits des patients en matière de confidentialité.
- Le PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes de sécurité des données pour les organisations qui gèrent des transactions par cartes de paiement. Il est développé par le groupe de sécurité de l’industrie des cartes de paiement (Payment Card Industry Security Standards Council – PCI SSC). La norme PCI DSS établit des exigences pour la protection des données des titulaires de cartes, y compris la sécurisation des réseaux, la protection des données stockées, la mise en place de contrôles d’accès, le suivi et les tests de sécurité réguliers. Les organisations concernées doivent se conformer au PCI DSS pour assurer la sécurité des informations de paiement et réduire les risques de fraude liés aux cartes de crédit et de débit.
En général, 4 types d’audits organisationnels de conformité peuvent être menés :
- Le gap-analysis ou analyse d’écart vise à mesurer le degré de conformité à la norme, repérer les non-conformités et définir éventuellement les chantiers à mettre en œuvre pour atteindre cette conformité. Il est en général effectué au tout début d’un projet de mise en conformité à un référentiel, afin d’avoir une bonne vision du travail à venir et du coût de la mise en conformité. Il peut être mené par une personne interne à l’entreprise ou par une entité tierce.
- L’audit à blanc, lui, se fait à la fin du processus de mise en conformité et permet de se préparer à l’audit de certification et de s’assurer qu’il ne reste plus de non-conformités majeures. Il est préférable que cet audit soit fait par une personne (interne comme externe) n’ayant pas aidé à la mise en conformité afin de s’assurer de l’impartialité de cet audit.
- L’audit de certification, dans le cas où la norme est certifiante, permet d’obtenir le certificat justifiant de la conformité de l’organisation. Il est obligatoirement fait par un auditeur accrédité.
- Enfin, l’audit interne (qui peut parfaitement être effectué par une entreprise externe !) reprend le principe d’un audit à blanc mais détaché du processus de certification. En effet, il permet à l’entreprise de contrôler son niveau de conformité à la norme ou au règlement afin de s’assurer que le niveau de sécurité est toujours à jour, et ce, indépendamment du projet de mise en conformité. Il est en général demandé par tous les référentiels en matière de sécurité et doit être renouvelé régulièrement, généralement annuellement.
B. Les audits de maturité de sécurité informatique
Le principe d’un audit de maturité est d’évaluer la maturité cyber de l’entreprise. Dans les faits, cet audit ressemble beaucoup aux audits de conformité, à l’exception qu’aucune norme n’est formellement requise. Il est souvent conseillé aux entreprises qui souhaitent simplement « savoir où elles en sont » en terme de sécurité, ou qui désirent investir dans leur sécurité informatique et souhaitent construire un plan de sécurisation stratégique sur le long terme.
Pour ce faire, on peut décider de s’adosser à une norme, ce qui rapproche beaucoup l’audit de maturité de l’audit type « audit interne ». On peut par exemple décider de d’utiliser les mesures de sécurité du NIST ou de l’ISO 27001. Il n’est cependant pas rare d’utiliser un mix de plusieurs référentiels ou de ne sélectionner que les parties du référentiel ou de la norme qui intéresse. En effet, puisqu’il n’y a à la clef aucune certification ou aucune demande client particulière, l’organisation est libre de choisir son référentiel d’audit.
Enfin, cet audit peut être réalisé de deux manières distinctes :
- Un authentique audit interne avec revue des preuves qui se basera autant sur la lecture de la documentation que sur des entretiens ciblés avec des personnes clefs ;
- Un audit déclaratif, plus léger, qui consiste à répondre à un questionnaire d’audit sans revue de preuve.
II. Les audits techniques de sécurité informatique
L’audit technique consiste à identifier les faiblesses potentielles dans les systèmes informatiques, les réseaux et les applications, non plus via des entretiens ou de la lecture de documentation, mais via des tests techniques. L’objectif principal de cet audit est de découvrir les vulnérabilités qui pourraient être exploitées par des attaquants malveillants.
En général, l’audit technique se déroule en deux temps : la phase de tests à proprement parler, où les auditeurs utilisent des outils et des techniques d’intrusion pour lister toutes les vulnérabilités ou non-conformités existantes ; puis la phase de rendu, durant laquelle les auditeurs rédigent le rapport des vulnérabilités. Celui-ci est généralement accompagné des propositions d’actions correctives à mettre en place, qui sont expliquées lors de la réunion de restitution.
Là encore, il existe plusieurs types d’audit : les audits de vulnérabilité, les audits de code, les audits de configuration.
A. Les audits de vulnérabilité de sécurité informatique
Le principe de ces audits est de chercher les vulnérabilités existantes sur un système donné. Ces audits se subdivisent en deux catégories :
- Les scans de sécurité automatisés, des outils qui analysent les réseaux, les systèmes et les applications à la recherche de vulnérabilités connues. Ces outils utilisent des bases de données de vulnérabilités pour comparer les configurations et les versions des logiciels avec les références de vulnérabilités connues. Ils peuvent identifier des problèmes tels que des ports ouverts, des services non sécurisés, des versions obsolètes de logiciels, des configurations par défaut non sécurisées, etc. Les scans de sécurité automatisés sont généralement rapides et peuvent être effectués régulièrement pour détecter les nouvelles vulnérabilités et les correctifs nécessaires. Cependant, ils remontent très fréquemment des faux positifs et sont assez peu pertinents pour la défense en profondeur. Ils sont donc recommandés uniquement dans le cadre d’un périmètre trop étendu pour être testé manuellement et régulièrement dans son intégralité, ou en complément de tests humains sur un périmètre qui évolue fréquemment.
- Les tests d’intrusion, également appelés « pentest », sont des évaluations de sécurité plus approfondies qui comportent de nombreux tests humains. Ils consistent à simuler une attaque réelle sur les systèmes et les réseaux pour identifier les vulnérabilités et les points faibles. Les tests d’intrusion peuvent porter sur une application web ou mobile, un système embarqué, un réseau interne, un point d’accès Wi-Fi… Les auditeurs se servent de techniques et d’outils spécialisés pour tenter d’exploiter les failles de sécurité, d’accéder à des informations sensibles ou de compromettre les systèmes. Bien sûr, ils ne font que regarder et s’arrêtent avant l’utilisation illégale dont un attaquant malveillant aurait tiré profit. Ces tests fournissent une évaluation détaillée des vulnérabilités spécifiques et permettent aux organisations de prendre des mesures correctives appropriées. Il est conseillé d’en réaliser régulièrement (annuellement par exemple). Vous pouvez vous rendre ici pour en apprendre plus sur les différents types de tests d’intrusion.
Ces deux approches sont complémentaires et contribuent à renforcer la sécurité des systèmes en détectant les vulnérabilités. Une fois les vulnérabilités identifiées, des mesures appropriées de remédiation doivent être mises en place pour renforcer la sécurité des systèmes des organisations.
B. Les audits de configuration de sécurité informatique
L’audit de configuration se concentre sur l’évaluation des configurations des systèmes et des applications afin de s’assurer qu’elles sont correctement effectuées donc sécurisées ! Il peut inclure la configuration :
- Des systèmes d’exploitation,
- Des applications,
- Des dispositifs réseau,
- Des bases de données,
- Etc.
L’objectif est de vérifier que les paramètres de sécurité sont correctement définis, tels que les pare-feux, les politiques de mot de passe, les autorisations d’accès, etc. Cet audit permet de prévenir les erreurs de configuration courantes qui pourraient conduire à des failles de sécurité. Une évaluation minutieuse des configurations garantit que les systèmes sont correctement protégés et alignés sur les meilleures pratiques de sécurité.
C. Les audits de code de sécurité informatique
Le but de ces audits est de relire le code d’une application afin de la comparer aux référentiels de bonnes pratiques de développement sécurisé (par exemple, l’OWASP Top 10) et de repérer les éventuels défauts dans le code qui pourraient conduire à une cyberattaque via l’exploitation d’une faille.
Cet audit permet aussi de nettoyer le code et de poser de bonnes bases d’hygiène informatique dans l’écriture et la mise en production.
III. Les audits de continuité des activités de sécurité informatique
L’audit de continuité des activités évalue la capacité d’une organisation à maintenir ses opérations en cas d’incident ou de catastrophe. Cela inclut le test de la planification des sauvegardes, la redondance des systèmes, la résilience organisationnelle ainsi que les tests et la mise en place de plans de continuité et de reprise après sinistre notamment le plan de continuité des activités (PCA) et le plan de reprise d’activités (PRA). On peut aussi y inscrire des exercices de gestion de crise pour vérifier la réactivité de l’entreprise et sa bonne connaissance des processus en place.
L’audit de continuité des activités permet de s’assurer que l’organisation est préparée à faire face à différents scénarios de perturbation et qu’elle peut maintenir ses activités critiques sans interruption significative avant de récupérer rapidement. Une bonne planification de la continuité des activités minimise les temps d’arrêt et garantit la disponibilité continue des systèmes critiques.
Nous espérons que la lecture de cet article aura permis de clarifier un peu les nombreux types d’audits existants. Et si nous n’avons pas parlé d’analyse de risques, c’est normal : elle fera l’objet d’un prochain article. En attendant, n’oubliez pas : si vous démarrez en cybersécurité, sans demande client préalable, optez pour l’audit de maturité ; si vous cherchez à prouver à vos clients votre niveau de maturité ou à répondre à une norme / réglementation, optez pour une démarche de mise en conformité avec les audits nécessaires ; et si vous souhaitez tester en situation réelle votre SI ou votre application, alors choisissez les tests techniques !
Article rédigé par : Maguette Diaw, consultante chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Audit SSI et Audit technique