Comment réaliser un audit cybersécurité ?

par

Accueil » Le Blog » Outils » Comment réaliser un audit cybersécurité ?

Pour tout DSI ou RSSI, l’audit de cybersécurité est la première étape incontournable. Voici quelques conseils pour vous permettre d’en tirer le meilleur.

Pourquoi réaliser un audit en cybersécurité ?

« J’ai tellement de choses à faire que je ne sais par où commencer. » Cette phrase convient bien à un DSI ou un RSSI tout juste en poste. La cybersécurité est un domaine transversal et ses enjeux concernent l’ensemble des activités d’une entreprise.

Les cyberattaques visant des entreprises françaises ont quadruplé en 2020 par rapport à l’année précédente, selon l’Agence nationale de sécurité des systèmes d’information (ANSSI). Et coûtent une fortune : 6 000 milliards de dollars dans le monde en 2021 et jusqu’à 10 500 milliards en 2025, estime dans un rapport le Club des juristes, un think tank français.

Si elles veulent diminuer leur risque de compter parmi les victimes de la cybercriminalité, troisième économie mondiale selon les chiffres du Club des juristes, les entreprises doivent donc s’équiper en solutions de cybersécurité et s’organiser pour une meilleure hygiène numérique. Le DSI doit donc définir des priorités. C’est tout l’intérêt de l’audit, que la plupart des experts considèrent comme la première étape inévitable dans la sécurisation de ses systèmes d’information.

Par qui faire réaliser l’audit ?

Tout d’abord, il est recommandé d’effectuer un état des lieux en interne. Celui-ci vous permettra :

  • De mettre à jour l’inventaire de vos actifs ou d’en créer un s’il n’en existe pas, voire de les prioriser en fonction de leur criticité. Le plus détaillé est le mieux, bien sûr, et, si possible dans un format sécurisé et exploitable, qui vous permette de le modifier à tout moment, voire de l’utiliser en cas de souscription à un service de cybersécurité.
  • D’évaluer la gestion des mises à jour logicielles, des correctifs et des vulnérabilités de votre entreprise.
  • De vérifier que votre entreprise est conforme aux réglementations (RGPD, ePrivacy, règles sur les OIV, sur les ESN…).
  • D’établir une politique de sécurité des systèmes d’information (PSSI) avec votre RSSI afin d’inciter – voire de contraindre – tous vos collaborateurs à adopter une meilleure hygiène numérique.
  • Éventuellement, d’installer de nouveaux équipements de sécurité, souscrire à de nouveaux services ou à mettre à jour ou monter en grades sur les services existants.

Pour les entreprises au plus petit budget, le travail d’audit peut s’arrêter là, de préférence en s’accompagnant d’un cabinet de conseil pour effectuer cet audit interne.

Si l’ambition est plus grande – et si le budget vous le permet –, il est fortement conseillé de faire appel à un cabinet d’audit pour effectuer un audit externe. Il en existe beaucoup, à des prix très différents. Peut-être serait-il judicieux de choisir parmi les Prestataires d’audit de la sécurité des systèmes d’information (PASSI) qualifiés par l’ANSSI – dont la liste est disponible ici.

Que va-t-on auditer ?

Il existe plusieurs types d’audits, que l’on classe ici du plus généraliste au plus technique. Cette liste n’est pas exhaustive, mais fait un bon tour d’horizon des méthodes les plus communes. Généralement un prestataire propose un audit qui emprunte à toutes ces techniques.

L’audit organisationnel, qui permet d’apprécier :

  • Sécurité physique et sûreté de fonctionnement ;
  • hygiène numérique des collaborateurs et bonnes pratiques ;
  • sécurité des processus mis en place (authentification, contrôle d’accès, e-mails, appareils de stockages externes comme les clés USB…) ;
  • sécurité de l’infrastructure télécoms ;
  • sécurité du parc machine (si usines) ;

L’audit de vulnérabilités : il s’agit d’identifier les failles ou faiblesses existantes sur votre réseau au niveau des :

  • Systèmes d’exploitation (OS) ;
  • logiciels installés (y compris les logiciels de cybersécurité) ;
  • configuration des appareils (ordinateurs, serveurs, stations de travail…) ;
  • éventuellement de vos objets connectés ;

L’audit de réseau interne : permet de valider la sécurité à l’intérieur du réseau d’entreprise. Le cabinet recherche toutes données sensibles accessibles via le réseau.

L’audit de code : permet de valider la sécurité d’un programme spécifique.

L’audit intrusif : permet de valider le niveau d’imperméabilité à d’éventuelles intrusion de votre réseau d’entreprise. Il peut être mené depuis l’extérieur ou depuis un point donné de votre réseau.

Chaque type d’évaluation peut se mener de trois manières différentes :

  • En boîte blanche : le client fournit tous les accès et les informations nécessaires au prestataire.
  • En boîte grise : le client ne fournit qu’une partie des accès et données au prestataire.
  • En boîte noire : le prestataire évalue les systèmes d’information du client sans aucune aide du client – peu ou prou dans les mêmes conditions qu’un individu cybermalveillant.

Là encore, ces différentes approches peuvent être hybridées selon les besoins.

Le RSSI, voire le DSI, doivent accompagner le prestataire dans l’audit de cybersécurité externe. Il ne faut pas hésitez à poser un maximum de questions pendant cet accompagnement. Notamment sur la hiérarchisation des risques pesant sur l’entreprise, la pertinence des solution déjà en place ou sur l’exploitation de l’audit une fois la prestation achevée.

SECURITE DE VOS DONNEES

Vous avez un projet cybersécurité ?

 

Demander une démo

Pour aller plus loin

3 actions rapides du DSI pour sécuriser son entreprise

3 actions rapides du DSI pour sécuriser son entreprise

Les DSI ne savent pas toujours par quoi commencer pour sécuriser le système d’information de leur entreprise. Nous vous proposons ici trois actions rapides et efficaces pour un SI mieux sécurisé. « La situation n’est pas bonne. La menace croit. Plus grand monde...

Pour une adhésion des cyber-outils, misez sur la meilleure UX possible

Pour une adhésion des cyber-outils, misez sur la meilleure UX possible

Pour faire entrer la cybersécurité dans les réflexes de leurs collaborateurs, DSI et RSSI doivent aussi s’assurer que les outils choisis soient faciles d’utilisation. « L’humain est le maillon faible de la cybersécurité. » Cette phrase, que l’on entend partout dans la...

Cybersécurité : les 5 clés du DG pour mettre en confiance son DSI

Cybersécurité : les 5 clés du DG pour mettre en confiance son DSI

En tant que directeur général, vous n’êtes pas toujours à l’aise pour parler de cybersécurité mais vous savez néanmoins qu’elle est désormais critique pour la bonne santé de votre entreprise ? Voici nos cinq conseils pour devenir le meilleur ambassadeur de votre DSI,...

Cybersécurité & OneWave dans votre boîte mail

Inscrivez-vous et recevez actualités, astuces sécurité et nouveautés OneWave 1 fois par mois.

Vous souhaitez essayer la OneWave ?

Contactez notre équipe pour avoir une démonstration personnalisée de notre carte.

Share This