L’enjeu de la sécurité informatique
Souvent ciblées par les cyberpirates, les données personnelles confidentielles représentent un enjeu de taille pour les entreprises. Le risque est d’autant plus présent en raison de l’essor d’internet. En effet, les biens immatériels des entreprises sont significativement menacés par les cyberpirates et ce, en permanence et la faiblesse de l’organisation des techniques du système de contrôle peut causer des vulnérabilités. Le risque se manifeste également de manière invisible : destruction de données, détournement de trafic, indisponibilité du service, ce qui le rend difficile à contrôler et à réguler. Il faut donc mettre en place des mesures spécifiques pour répondre à chaque type de menace et prévenir des dangers du net.
Qu’est-ce qu’un audit de sécurité informatique ?
L’audit de sécurité est une pratique qui permet d’établir un bilan de sécurité à un instant T d’un système donné, en comparant son état de fonctionnement à une référence. La référence se base sur le cadre réglementaire du secteur d’activité conformément au pays, la politique de sécurité du système d’information de l’entreprise auditée ainsi que leurs propres régulations (ISO 27002), les références de bonnes pratiques des organismes de sécurité informatique, comme l’ANSSI par exemple.
L’audit de sécurité s’appuie sur toutes sortes de données au préalable – la documentation de l’élément audité, les pratiques de déploiement, de développement, de production, les extraits de configuration ou l’accès aux interfaces d’administration – afin d’offrir un service efficace et performant. Il faut usage de ces informations préparées à l’avance pour procéder à la revue du système d’information et du réseau. L’audit de sécurité peut soit désigner l’analyse globale des activités liées aux systèmes d’informations ou seulement se concentrer sur l’évaluation d’un thème informatique au sein de l’entreprise.
L’audit de sécurité est le plus souvent sollicité par des organismes qui souhaitent approfondir son infrastructure informatique et qui ont déjà été soumises à des revues de sécurité ; des gestionnaires d’un projet mis en place qui souhaite s’assurer d’appliquer les bonnes pratiques et les organismes désireux d’identifier les zones les plus à risques pour améliorer son niveau de sécurité globale.
Les objectifs de l’audit informatique
L’audit informatique a pour but d’identifier les vulnérabilités techniques ou organisationnelles, ainsi que les potentiels risques concernant les activités informatiques d’un organisme. L’audit de sécurité informatique permet ainsi de qualifier le niveau de sécurité local ou global du système d’information d’une administration ou d’une entreprise. Il permet ainsi de se concentrer sur les points qui méritent un renforcement en termes de sécurité.
L’audit de sécurité propose généralement un résultat exhaustif, sans pour autant avoir un impact sur la disponibilité des services du système audité, et comprend une liste de recommandations à suivre. Il offre par ailleurs une vision globale des fichiers, ce qui est idéal pour se rendre compte de la surface exploitable par un cybercriminel et ainsi les protéger.
Les objectifs de l’audit de sécurité informatique sont donc les suivants :
– Repérer les actifs liés à la distribution d’informations de l’entreprise (logiciels, bases de données, matériels informatiques)
– Identifier les risques à travers une surveillance constante assurée par le responsable de la sécurité informatique
– Recenser les menaces
– Mesurer les impacts pour évaluer les points de vulnérabilités et les renforcer
– Définir les parades pour renforcer la résilience informatique et permettre à l’entreprise de fonctionner en cas d’attaque (chiffrement de données, plan de secours, contrôles d’accès à réguler)
C’est donc à l’audité de définir les objectifs qu’il souhaite atteindre avec l’audit de sécurité informatique : tester la mise en place de la défense ou un nouvel équipement, faire une revue de l’évolution de la sécurité globale du Si ou encore réagir à une attaque. Il est particulièrement utile après l’installation d’un nouveau composant de votre système d’information.
Il est par ailleurs recommandé de régulièrement procéder à des audits de sécurité du système, au moins une fois par an pour s’assurer de la bonne évolution de son SI et mettre les recommandations à jour.
Comment faire un audit de sécurité informatique ?
L’audit de sécurité informatique se pratique suivant différentes méthodes. Pour dresser la liste des vulnérabilités du système d’informations d’une entreprise en particulier et ainsi lui fournir un guide de bonnes pratiques pour se protéger, l’auditeur peut :
Interroger
Les interviews sont particulièrement nécessaires dans le cadre d’un audit de sécurité organisationnel et permettent d’établir le rôle des personnes dans le contrôle de sécurité. Il faut interroger le directeur des systèmes d’information, en charge de la gestion globale du réseau d’une entité ; les responsables de la sécurité des SI, dont l’activité se résume à faire en sorte de maintenir une sécurisation constante ; les administrateurs, qui ont accès aux données confidentielles ; les autres utilisateurs ; les autres employés ayant un lien avec la sécurité.
Commettre un test d’intrusion
Le test d’intrusion est idéal pour se rendre compte en conditions réelles du niveau de sécurité d’une entreprise. Effectué de l’extérieur, l’auteur de l’intrusion dispose d’un minimum d’informations sur le SI de sa cible. On parle alors d’un test boîte noire : il correspond à la collecte d’informations publiques, l’identification de points de présence sur internet et l’écoute du réseau. Grâce à une technique de fuzzing, l’auditeur peut analyser le code d’une application et en comprendre son fonctionnement.
Le test boîte grise est un peu plus facile à accomplir dans la mesure où l’auditeur qui cherche à s’introduire dispose de quelques informations sur le système, comme un compte d’utilisateur lambda. Le test boîte blanche commence avec toutes les informations en mains.
Une fois le type de test déterminé, l’auditeur procède à la recherche de failles techniques puis à l’exploitation de ces vulnérabilités. La découverte de ces failles permet de découvrir quel risque lui est associé et de mettre en place une protection pertinente qui s’accorde à la menace potentielle.
Certains tests d’intrusion sont effectués en grandeur nature et ont recours à des techniques récurrentes d’intrusion, comme l’ingénierie sociale ou des intrusions physiques.
Relever la configuration
L’auditeur passe en revue les composants du SI dans leurs moindres détails pour lister les failles qui s’en dégagent et les comparer à des références de configurations sécurisées pour se rendre compte de ce qui manque à la protection de l’entité auditée.