Article
Qu’est-ce qu’un audit de cybersécurité, et pourquoi est-ce important ?
Une entreprise devrait accorder la priorité à un audit a de cybersécurité, et ce pour plusieurs raisons. La conduite d’un audit de cybersécurité permet de repérer les problèmes susceptibles de donner lieu à une coûteuse violation de la conformité, une violation de données, ou à un autre grave incident et d’y remédier. Un audit de cybersécurité identifie les failles, les menaces, les pratiques à risque et les faiblesses dans les maillons des processus et systèmes de cybersécurité.
Qu’est-ce qu’un audit de cybersécurité ?
Un audit de cybersécurité est une évaluation et une analyse globales des mesures de cybersécurité d'une organisation et de ses cyberrisques.
L’objectif d’un audit de cybersécurité est de repérer à l’avance les vulnérabilités, les menaces et les options d’atténuation dont elle dispose pour empêcher que ces faiblesses ne soient exploitées.
Les audits de cybersécurité font appel à toutes sortes de technologies, processus et contrôles pour évaluer le niveau de protection des réseaux, des programmes, des appareils contre les risques et les menaces. Ils ont lieu régulièrement et les résultats sont comparés à des mesures de référence internes, des normes de l’industrie et les pratiques professionnelles homologuées en cybersécurité. Ils peuvent être menés par les services internes d’informatique et de sécurité ou des entreprises tierces externes.
Il existe toutes sortes d’audit de cybersécurité, qui peuvent adopter des approches différentes selon le type et la taille de l’entreprise. Mais en général, l’objectif est de réduire son cyberrisque et d’améliorer son dispositif de sécurité. Un audit de cybersécurité offre de nombreux avantages et permet :
- D’éviter les pénalités infligées en cas de non-respect des lois et réglementations ;
- De repérer en amont les failles de sécurité et des systèmes ;
- De confirmer que des mécanismes adaptés de contrôle sont en place pour faire appliquer les règles et les procédures ;
- D’assurer la protection des données sensibles contre les accès non autorisés ;
- D’identifier et de remédier aux risques de cybersécurité ;
- D’améliorer les systèmes et processus de sécurité ;
- D’augmenter le niveau de préparation aux Interventions en cas d’incident ;
- De maintenir les valeurs de référence et les seuils minimum en matière de sécurité et de risque ;
- De respecter les obligations des règles de conformité internes et externes ;
- D’optimiser les programmes de formation et d’éducation à la sécurité ;
- De renforcer la confiance et la crédibilité auprès des clients, des salariés et des partenaires ;
- De valider les politiques et procédures de sécurité ;
- De vérifier que tout le monde, personnel et systèmes, suit les politiques de sécurité ;
De préparer l’entreprise aux risques de cybersécurité.
Les plans de cybersécurité sont complétés par les audits de cybersécurité. Les questions à se poser et les domaines à évaluer dans un audit sont :
- Les plans de gestion cyber risk sont-ils à jour ?
- Les plans prennent-ils en compte les incidents récents et les nouvelles menaces connues ?
- Tous les services ont-ils été contactés pour vérifier si le plan de gestion du cyberrisque répondait à leurs besoins actuels ?
- Les outils technologiques obsolètes ont-ils été remplacés par des solutions récentes ?
- Des mises à jour et des correctifs sont-ils appliqués régulièrement ?
La portée d’un audit de cybersécurité
Il y a plusieurs paramètres qui dictent la portée des audits de cybersécurité. Mais quelle qu’en soit l’étendue, voici généralement les points qui sont examinés dans la recherche des vulnérabilités.
La sécurité des données
- Les contrôles des accès
- L’utilisation du chiffrement
- Les protections pour les données au repos et en cours de transmission
- Le traitement des informations sensibles
La sécurité des réseaux
- Les points d’accès
- Les configurations des antivirus
- La disponibilité
- La surveillance du trafic sur le réseau (par exemple le courrier électronique, la messagerie instantanée et les fichiers)
- Les faiblesses dans l’un des composants du réseau
La sécurité opérationnelle
- Le niveau d’observance des politiques et procédures de la part des utilisateurs
- Les dispositifs de sécurité pour les informations et les systèmes
- Les politiques, procédures et contrôles de sécurité
La sécurité physique
- Les systèmes d’alarme
- L’élaboration de contrôles de l’accès
- Les protections au niveau de la conservation des données pour les appareils physiques (fermetures à clé, verrouillage des écrans et chiffrement des disques)
- Les fonctionnalités de surveillance
Les systèmes logiciels
- Le traitement des données
- La protection des applications
- Les solutions de sécurité
- Le développement de logiciels
La sécurité des systèmes
- Les processus de durcissement
- Les installations de correctifs
- La gestion des comptes privilégiés
- Les contrôles basés sur les rôles
Faire réaliser les audits par les services internes ou par une entreprise externe ?
Les audits de cybersécurité peuvent être menés soit par des services externes soit en interne par les équipes informatique et sécurité.
C’est l’objet de l’audit, la taille de l’organisation et le genre d’informations collectées, traitées et conservées qui dictent le type et le détail de l’audit de cybersécurité.
Parmi les différents types d’audits de cybersécurité auxquels les équipes internes et externes font appel, citons :
Les audits de conformité
L’audit de conformité de la cybersécurité est le plus courant, étant donné les très nombreuses lois et réglementations qui concernent un grand nombre d’organisations. Cet audit cherche à déterminer les besoins et les corréler à des solutions de sécurité existantes pour déterminer les lacunes. Sans être un audit de cybersécurité complet, l’audit de conformité est malgré tout utile pour repérer les vulnérabilités et les lacunes dans les systèmes susceptibles d’être exploitées.
Les audits d’intrusion
Les tests d’intrusion sont une autre sorte d’audit de cybersécurité. Les systèmes sont testés au moyen de simulations d’attaques pour en détecter les faiblesses.
Certains tests d’intrusion peuvent être menés à l’aide d’outils automatisés. D’autres audits sophistiqués d’intrusion combinent l’automatisation avec des vecteurs d’attaque humains, le but étant de creuser pour découvrir des failles passées inaperçues.
Les audits d’évaluation des risques
Tout en étant plus complexes, chronophages et chers que d’autres types d’audits, les audits d’évaluation des risques ne donnent pas une vue globale du dispositif de sécurité d’une organisation. Un audit d’évaluation des risques se penche sur les menaces potentielles et sur la probabilité qu’elles se traduisent en incident et les conséquences si c’était le cas. Grâce à ce processus, les vulnérabilités sont découvertes mais la santé et l’efficacité des systèmes de sécurité ne sont pas la priorité de ce travail.
Les audits de cybersécurité externes
Les audits de cybersécurité externes sont conduits par des tiers offrant des services d’audit professionnels de la sécurité. Ces consultants ou ces groupes apportent une vaste expérience des audits de cybersécurité, ainsi qu’une série d’outils et de processus évolués pour repérer les lacunes et les vulnérabilités dans les programmes et protocoles de sécurité.
Il y a plusieurs avantages à utiliser un prestataire externe pour un audit de cybersécurité, car il offre, entre autres :
- Une profonde compréhension des obligations de conformité
- Une indépendance
- Une absence de biais internes ou de conflit d’intérêts
- Une expérience spécialisée.
Tout en ayant de multiples avantages, les audits de cybersécurité externes sont plus chers et prennent plus de temps. Voici quelques conseils pour simplifier et accélérer un audit de cybersécurité confié à un prestataire tiers :
- Trouver un groupe offrant des services à un niveau qui s’accorde avec les besoins de l’organisation ;
- Réunir et organiser toutes les informations utiles ;
- Fixer la taille de l’audit à l’aide de paramètres.
Les audits de cybersécurité internes
Les audits de cybersécurité internes sont menés par des professionnels de services internes : l’informatique, la sécurité, les risques et la conformité. L’organisation utilise alors ses propres outils et processus pour évaluer l’efficacité des systèmes de sécurité et le respect des réglementations.
Parmi les avantages d’un audit de cybersécurité interne, les personnes qui en sont chargées disposent des atouts suivants :
- Ils peuvent accéder directement aux systèmes et processus internes ;
- Ils peuvent faire le travail de façon plus économique ;
- Ils peuvent procéder plus souvent à des révisions ;
- Ils possèdent une connaissance approfondie des systèmes et protocoles de sécurité et de conformité.
Mais il peut aussi y avoir des inconvénients. Et notamment :
- Le manque d’objectivité ;
- Un accès limité aux technologies spécialisées ;
- La possibilité de biais et de conflits d’intérêts.
La fréquence des audits de cybersécurité
La réponse à la question, souvent posée, de la fréquence des audit de cybersécurité est : « C’est selon ». En fonction des facteurs ci-dessous, les audits ont lieu chaque mois, chaque trimestre, chaque année, ou moins souvent.
La fréquence d’un audit de cybersécurité dépend de plusieurs facteurs. Par exemple :
- D’importantes modifications apportées à l’infrastructure informatique et/ou de sécurité ;
- La disponibilité des ressources nécessaires pour mener l’audit ;
- L’importance et la valeur des informations détenues ;
- L’industrie dont dépend l’entreprise et les obligations de conformité qui lui sont applicables ;
- Le niveau des risques de cybersécurité auxquels est confrontée l’organisation ;
- La survenue d’un incident de cybersécurité marquant ;
- La sensibilité des données collectées et stockées ;
- La taille de l’infrastructure informatique de l’organisation.
Les pratiques homologuées des audits de cybersécurité
Voici quelques-unes des pratiques homologuées en cybersécurité dont il faut tenir compte :
Déterminer la portée de l’audit de cybersécurité et définir des objectifs clairs.
Avant de commencer un audit de cybersécurité, déterminez quels sont les objectifs ; à quels besoins il doit répondre pour les atteindre ; qui sont les principales parties prenantes ; et qui y participera. Il est également important de déterminer comment l’audit sera mené et ce qui sera évalué.
Parmi les domaines couramment pris en compte dans un audit de cybersécurité, citons :
- Les obligations de conformité ;
- Les systèmes de conservation, de transmission et de protection des données pour les informations sensibles ;
- Les programmes de formation théorique et pratique ;
- Les plans d’Intervention en cas d’incident ;
- L’infrastructure informatique (le matériel informatique, les réseaux et les logiciels) ;
- Les politiques et les procédures générales ;
- Les pratiques de sécurité physique.
Profitez des cadres de cybersécurité et de gestion du cyberrisque.
Les cadres de cybersécurité et de gestion du cyberrisque sont utiles pour identifier effectivement les vulnérabilités dans un audit et les évaluer. En voici quelques exemples :
- L’association ISACA (Information Systems Audit and Control Association, association des audits de systèmes informatiques et de contrôle) les objectifs COBIT (Control Objectives for Information and Related Technology, objectifs de contrôle pour l’information et les technologies connexes)
- La méthode CIS RAM (Center for Internet Security Risk Assessment Method, méthode du Centre pour l’évaluation des risques de sécurité sur internet)
- Le cadre RMF (Risk Management Framework) de gestion des risques du DoD (Department of Defense)
- L’analyse des facteurs FAIR (Factor Analysis of Information Risk, analyses des facteurs des risques informatiques)
- La norme ISO/IEC 270001 de l’ISO (International Organization for Standardization), créée en partenariat avec la commission IEC (International Electrotechnical Commission)
- Le cadre du NIST CSF (National Institute of Standards and Technology Cybersecurity, institut national des normes et de la cybersécurité des technologies)
Mener une évaluation complète des risques et des menaces.
Analysez des détails tels que :
- La valeur et la sensibilité des données (par exemple la propriété intellectuelle, les données financières ou les informations des clients) ;
- L’impact potentiel d’une violation-données ;
- Quels types de risques appartiennent à quels domaines.
- les types de menaces auxquelles est exposée une organisation (par exemple les attaques menant à un déni de service sur serveur (DdoS) , malware, l’informatique fantôme, les compromis aux contrôles de l’accès, les initiés accidentels et malveillants, , l’exploitation de menaces à délai nul, dites « zero-day », le hameçonnage)
Il faudrait également citer les entretiens et les visites sur site pour acquérir une visibilité approfondie. Comprendre les risques et les menaces permet de recentrer les objectifs de l’audit de cybersécurité et l’affectation des ressources.
Comprendre les obligations de conformité.
Les lois et réglementations professionnelles, telles que la loi sur les droits de la vie privée California Privacy Rights Act (CPRA), le Règlement général sur la protection des données de l’Union Européenne (RGPD) et la norme sur la sécurité des données des cartes de paiement (Payment Card Industry Data Security Standard, PCI DSS), ont des obligations strictes en matière de la sécurité et de vie privée qui doivent être prises en compte pendant un audit de cybersécurité.
Évaluer les politiques, procédures et contrôles de sécurité en les comparant à des valeurs de référence.
Il conviendra de procéder à une révision des politiques, procédures et contrôles de sécurité afin de déterminer ce qui existe pour se protéger contre certaines menaces bien précises et connaître l’efficacité de ces mesures. C’est aussi l’occasion de repérer les éventuelles lacunes.
On part de mesures de référence, des pratiques professionnelles homologuées et de cadres externes établis, ainsi que des réglementations pour mesurer les politiques, procédures et contrôles de sécurité d’une organisation et vérifier qu’ils sont conformes à ceux de la profession.
Des domaines incontournables doivent être examinés dans cette partie de l’audit de cybersécurité :
- Les mécanismes de contrôle des accès
- Les processus de travail
- L’accès aux données et les règles de traitement
- Les systèmes et contrôles de classification des données systèmes
- Les protocoles de chiffrement des données
- Les règles applicables aux mots de passe
- Le niveau d'utilisation des technologies
- Les processus de provisionning et de déprovisionning des comptes utilisateurs
Réaliser activement des tests techniques.
Mener des tests techniques tels que des examens de configuration (par exemple des listes de pare-feux et de contrôles des accès), des tests d’intrusion pour évaluer l’efficacité des contrôles de sécurité et le criblage des vulnérabilités sur les appareils connectés aux réseaux, les serveurs et les applications afin de repérer les vulnérabilités et les faiblesses de l’infrastructure informatique. Analyser les résultats pour déterminer des domaines à améliorer et détecter les points par lesquels les attaquants risquent de pénétrer.
Consulter les journaux de sécurité, les données des applications et les rapports d’activité des utilisateurs pour découvrir les incidents et les analyser.
Dans le cadre d’un audit de cybersécurité, les registres de sécurité, les données des applications et les rapports d’activité des utilisateurs doivent être collectés afin de découvrir et analyser les incidents. Ces examens doivent porter sur des informations de toutes les sources disponibles susceptibles de comporter des indices sur des activités suspectes ou des indicateurs de compromission. L’analyse des informations peut faciliter la détection d’attaques en cours et futures, des violations de règles et des tentatives d’accès non autorisé.
Relever tous les résultats de l’enquête et les recommandations.
Pendant et après un audit de cybersécurité, il est important de documenter tous les résultats d’enquête, tels que les vulnérabilités et faiblesses identifiées, et de noter les suggestions d’atténuation ou de réparation. Les recommandations doivent être classées par ordre d’importance en termes d’impact potentiel et les informations doivent servir à établir des valeurs de référence internes ou à les mettre à jour.
Voici quelques-unes des recommandations couramment citées dans les audits de cybersécurité :
- Documenter les outils de prévention, de détection et d’intervention en place pour protéger les systèmes de sécurité ;
- Disposer de plans de réponse aux incident pour minimiser les arrêts et interruptions de l’activité en cas de problème de sécurité ou de catastrophe naturelle ;
- Disposer de processus et procédures pour remédier aux vulnérabilités : gestion de correctifs, segmentation des réseaux et améliorations à l’architecture de la sécurité ;
- Faire des formations de sensibilisation à la sécurité et aux interventions, et proposer des ressources éducatives
Surveiller les systèmes de sécurité en continu.
Une fois que les recommandations issues de l’audit de cybersécurité ont été appliquées, tous les systèmes doivent être surveillés en permanence pendant les intervalles entre audits.
Les audits de cybersécurité offrent une protection en amont
Il est judicieux de savoir que toute organisation est vulnérable aux cybermenaces provenant de l’extérieur comme de l’intérieur et d’accorder la priorité aux audits de cybersécurité. La flexibilité des audits et leurs options permettent de les mener régulièrement.
Il faut investir énormement de temps et de moyens pour réaliser un audit de cybersécurité. C’est la garantie que l’organisation a fait tout ce qui était en son pouvoir pour identifier et atténuer les vulnérabilités susceptibles de donner lieu à une cyberattaque. Selon son ampleur, une cyberattaque crée, au mieux, une désorganisation et, au pire, des dégâts dévastateurs, avec des dommages qui vont des pertes financières à la perte de réputation. En veillant à choisir un type d’audit adapté, les organisations peuvent utiliser les audits de cybersécurité pour protéger les réseaux, les appareils électroniques et les données des accès non autorisés et des altérations.