Accueil » Le Blog » Cybersécurité » Comment réaliser un audit cybersécurité ?

Comment réaliser un audit cybersécurité ?

Pour tout DSI ou RSSI, l’audit de cybersécurité est la première étape incontournable. Voici quelques conseils pour vous permettre d’en tirer le meilleur.

h

Sommaire

$

Pourquoi réaliser un audit en cybersécurité ?

$

Par qui faire réaliser l’audit ?

$

Que va-t-on auditer ?

Pourquoi réaliser un audit en cybersécurité ?

« J’ai tellement de choses à faire que je ne sais pas par où commencer. » Cette phrase convient bien à un DSI ou un RSSI tout juste en poste. La cybersécurité est un domaine transversal et ses enjeux concernent l’ensemble des activités d’une entreprise.

Les cyberattaques visant des entreprises françaises ont quadruplé en 2020 par rapport à l’année précédente, selon l’Agence nationale de sécurité des systèmes d’information (ANSSI). Et elles coûtent une fortune : 6 000 milliards de dollars dans le monde en 2021 et jusqu’à 10 500 milliards en 2025, estime dans un rapport le Club des juristes, un think tank français.

Si elles veulent diminuer leur risque de compter parmi les victimes de la cybercriminalité, troisième économie mondiale selon les chiffres du Club des juristes, les entreprises doivent donc s’équiper en solutions de cybersécurité et s’organiser pour une meilleure hygiène numérique. Le DSI doit donc définir des priorités. C’est tout l’intérêt de l’audit, que la plupart des experts considèrent comme la première étape inévitable dans la sécurisation de ses systèmes d’information.

Par qui faire réaliser l’audit ?

Tout d’abord, il est recommandé d’effectuer un état des lieux en interne. Celui-ci vous permettra :

  • De mettre à jour l’inventaire de vos actifs ou d’en créer un s’il n’en existe pas, voire de les prioriser en fonction de leur criticité. Le plus détaillé est le mieux, bien sûr, et, si possible dans un format sécurisé et exploitable, qui vous permette de le modifier à tout moment, voire de l’utiliser en cas de souscription à un service de cybersécurité.
  • D’évaluer la gestion des mises à jour logicielles, des correctifs et des vulnérabilités de votre entreprise.
  • De vérifier que votre entreprise est conforme aux réglementations (RGPD, ePrivacy, règles sur les OIV, sur les ESN…).
  • D’établir une politique de sécurité des systèmes d’information (PSSI) avec votre RSSI afin d’inciter – voire de contraindre – tous vos collaborateurs à adopter une meilleure hygiène numérique.
  • Éventuellement, d’installer de nouveaux équipements de sécurité, souscrire à de nouveaux services ou à mettre à jour ou monter en grades sur les services existants.

Pour les entreprises au plus petit budget, le travail d’audit peut s’arrêter là, de préférence en s’accompagnant d’un cabinet de conseil pour effectuer cet audit interne.

Si l’ambition est plus grande – et si le budget vous le permet –, il est fortement conseillé de faire appel à un cabinet d’audit pour effectuer un audit externe. Il en existe beaucoup, à des prix très différents. Peut-être serait-il judicieux de choisir parmi les Prestataires d’audit de la sécurité des systèmes d’information (PASSI) qualifiés par l’ANSSI – dont la liste est disponible ici.

Bon à recevoir

L’actualité de l’authentification et de la gestion des accès dans votre boîte mail 1 fois par mois ! Inscrivez-vous pour recevoir les décryptages de notre newsletter :

Que va-t-on auditer ?

Il existe plusieurs types d’audits, que l’on classe ici du plus généraliste au plus technique. Cette liste n’est pas exhaustive, mais fait un bon tour d’horizon des méthodes les plus communes. Généralement un prestataire propose un audit qui emprunte à toutes ces techniques.

L’audit organisationnel

L’audit organisationnel, qui permet d’apprécier :

  • sécurité physique et sûreté de fonctionnement ;
  • hygiène numérique des collaborateurs et bonnes pratiques ;
  • sécurité des processus mis en place (authentification, contrôle d’accès, e-mails, appareils de stockages externes comme les clés USB…) ;
  • sécurité de l’infrastructure télécoms ;
  • sécurité du parc machine (si usines) ;

L’audit de vulnérabilités

L’audit de vulnérabilités : il s’agit d’identifier les failles ou faiblesses existantes sur votre réseau au niveau des :

  • Systèmes d’exploitation (OS) ;
  • logiciels installés (y compris les logiciels de cybersécurité) ;
  • configuration des appareils (ordinateurs, serveurs, stations de travail…) ;
  • éventuellement de vos objets connectés ;

Les autres audits

L’audit de réseau interne : permet de valider la sécurité à l’intérieur du réseau d’entreprise. Le cabinet recherche toutes données sensibles accessibles via le réseau.

L’audit de code : permet de valider la sécurité d’un programme spécifique.

L’audit intrusif : permet de valider le niveau d’imperméabilité à d’éventuelles intrusion de votre réseau d’entreprise. Il peut être mené depuis l’extérieur ou depuis un point donné de votre réseau.

Chaque type d’évaluation peut se mener de trois manières différentes :

  • En boîte blanche : le client fournit tous les accès et les informations nécessaires au prestataire.
  • En boîte grise : le client ne fournit qu’une partie des accès et données au prestataire.
  • En boîte noire : le prestataire évalue les systèmes d’information du client sans aucune aide du client – peu ou prou dans les mêmes conditions qu’un individu cybermalveillant.

Là encore, ces différentes approches peuvent être hybridées selon les besoins.

Le RSSI, voire le DSI, doivent accompagner le prestataire dans l’audit de cybersécurité externe. Il ne faut pas hésitez à poser un maximum de questions pendant cet accompagnement. Notamment sur la hiérarchisation des risques pesant sur l’entreprise, la pertinence des solution déjà en place ou sur l’exploitation de l’audit une fois la prestation achevée.

Bon à recevoir

L’actualité de l’authentification et de la gestion des accès dans votre boîte mail 1 fois par mois ! Inscrivez-vous pour recevoir les décryptages de notre newsletter :

A propos d’authentification et de cybersécurité

Double authentification : quelle solution choisir ?

Double authentification : quelle solution choisir ?

Selon Microsoft, 99,9% des attaques automatisées pourraient être empêchées par la double authentification. Une sécurité supplémentaire qui séduit de plus en plus d'acteurs. Parmi eux, Google, Salesforce ou encore GitHub sont en train de le rendre obligatoire. Mail,...

Authentification multifacteur sur mobile : la fausse bonne idée

Authentification multifacteur sur mobile : la fausse bonne idée

Application d’authentification à deux facteurs, SMS, push, les solutions d’authentification multifacteur sur mobile se multiplient. Simples à utiliser pour des collaborateurs déjà équipés de téléphones professionnels ou plus contraignante pour ceux utilisant leurs...

Cybersécurité & OneWave dans votre boîte mail

Inscrivez-vous et recevez actualités, astuces sécurité et nouveautés OneWave 1 fois par mois.

Vous souhaitez essayer la OneWave ?

Contactez notre équipe pour avoir une démonstration personnalisée de notre carte.

Share This