Accueil > Le Blog > Cybersécurité

Comment réaliser un audit cybersécurité ?

par | 19 Oct 2021

Pour tout DSI ou RSSI, l’audit de cybersécurité est la première étape incontournable. Voici quelques conseils pour vous permettre d’en tirer le meilleur.

personnes réalisant un audit de cybersécurité
h

Sommaire

$

Pourquoi réaliser un audit en cybersécurité ?

$

Par qui faire réaliser l’audit ?

$

Que va-t-on auditer ?

Pourquoi réaliser un audit en cybersécurité ?

« J’ai tellement de choses à faire que je ne sais pas par où commencer. » Cette phrase convient bien à un DSI ou un RSSI tout juste en poste. La cybersécurité est un domaine transversal et ses enjeux concernent l’ensemble des activités d’une entreprise.

Les cyberattaques visant des entreprises françaises ont quadruplé en 2020 par rapport à l’année précédente, selon l’Agence nationale de sécurité des systèmes d’information (ANSSI). Et elles coûtent une fortune : 6 000 milliards de dollars dans le monde en 2021 et jusqu’à 10 500 milliards en 2025, estime dans un rapport le Club des juristes, un think tank français.

Si elles veulent diminuer leur risque de compter parmi les victimes de la cybercriminalité, troisième économie mondiale selon les chiffres du Club des juristes, les entreprises doivent donc s’équiper en solutions de cybersécurité et s’organiser pour une meilleure hygiène numérique. Le DSI doit donc définir des priorités. C’est tout l’intérêt de l’audit, que la plupart des experts considèrent comme la première étape inévitable dans la sécurisation de ses systèmes d’information.

Effectuer un premier bilan gratuit de la sécurité de vos authentification en échangeant avec l'équipe de OneWave en amont d'un audit de cybersécurité

Par qui faire réaliser l’audit de cybersécurité ?

Tout d’abord, il est recommandé d’effectuer un état des lieux en interne. Celui-ci vous permettra :

  • De mettre à jour l’inventaire de vos actifs ou d’en créer un s’il n’en existe pas, voire de les prioriser en fonction de leur criticité. Le plus détaillé est le mieux, bien sûr, et, si possible dans un format sécurisé et exploitable, qui vous permette de le modifier à tout moment, voire de l’utiliser en cas de souscription à un service de cybersécurité.
  • D’évaluer la gestion des mises à jour logicielles, des correctifs et des vulnérabilités de votre entreprise.
  • De vérifier que votre entreprise est conforme aux réglementations (RGPD, NIS2, ePrivacy, règles sur les OIV, sur les ESN…).
  • D’établir une politique de sécurité des systèmes d’information (PSSI) avec votre RSSI afin d’inciter – voire de contraindre – tous vos collaborateurs à adopter une meilleure hygiène numérique.
  • Éventuellement, d’installer de nouveaux équipements de sécurité, souscrire à de nouveaux services ou à mettre à jour ou monter en grades sur les services existants.

Pour les entreprises au plus petit budget, le travail d’audit peut s’arrêter là, de préférence en s’accompagnant d’un cabinet de conseil pour effectuer cet audit interne.

Si l’ambition est plus grande – et si le budget vous le permet –, il est fortement conseillé de faire appel à un cabinet d’audit pour effectuer un audit externe. Il en existe beaucoup, à des prix très différents. Peut-être serait-il judicieux de choisir parmi les Prestataires d’audit de la sécurité des systèmes d’information (PASSI) qualifiés par l’ANSSI – dont la liste est disponible ici.

Comment se passe un audit de cybersécurité ?

Il existe plusieurs types d’audits, que l’on classe ici du plus généraliste au plus technique. Cette liste n’est pas exhaustive, mais fait un bon tour d’horizon des méthodes les plus communes. Généralement un prestataire propose un audit qui emprunte à toutes ces techniques.

L’audit organisationnel

L’audit organisationnel, qui permet d’apprécier :

  • sécurité physique et sûreté de fonctionnement ;
  • hygiène numérique des collaborateurs et bonnes pratiques ;
  • sécurité des processus mis en place (authentification, contrôle d’accès, e-mails, appareils de stockages externes comme les clés USB…) ;
  • sécurité de l’infrastructure télécoms ;
  • sécurité du parc machine (si usines) ;

L’audit de vulnérabilités

L’audit de vulnérabilités : il s’agit d’identifier les failles ou faiblesses existantes sur votre réseau au niveau des :

  • Systèmes d’exploitation (OS) ;
  • logiciels installés (y compris les logiciels de cybersécurité) ;
  • configuration des appareils (ordinateurs, serveurs, stations de travail…) ;
  • éventuellement de vos objets connectés ;

Les autres audits

L’audit de réseau interne : permet de valider la sécurité à l’intérieur du réseau d’entreprise. Le cabinet recherche toutes données sensibles accessibles via le réseau.

L’audit de code : permet de valider la sécurité d’un programme spécifique.

L’audit intrusif : permet de valider le niveau d’imperméabilité à d’éventuelles intrusion de votre réseau d’entreprise. Il peut être mené depuis l’extérieur ou depuis un point donné de votre réseau.

Chaque type d’évaluation peut se mener de trois manières différentes :

  • En boîte blanche : le client fournit tous les accès et les informations nécessaires au prestataire.
  • En boîte grise : le client ne fournit qu’une partie des accès et données au prestataire.
  • En boîte noire : le prestataire évalue les systèmes d’information du client sans aucune aide du client – peu ou prou dans les mêmes conditions qu’un individu cybermalveillant.

Là encore, ces différentes approches peuvent être hybridées selon les besoins.

Comparez les outils de gestion des identités et des accès pour l'audit de cybersécurité en téléchargeant un livre blanc dédié à ce sujet

Le RSSI, voire le DSI, doivent accompagner le prestataire dans l’audit de cybersécurité externe. Il ne faut pas hésitez à poser un maximum de questions pendant cet accompagnement. Notamment sur la hiérarchisation des risques pesant sur l’entreprise, la pertinence des solution déjà en place ou sur l’exploitation de l’audit une fois la prestation achevée.

A lire ensuite : DSI, RSSI, 5 actions rapides à mettre en place pour sécuriser votre entreprise

Share This