Académique Documents
Professionnel Documents
Culture Documents
Comment Faire Un Audit de Sécurité Informatique
Comment Faire Un Audit de Sécurité Informatique
sécurité informatique ?
Quelle est l’utilité réelle de ces audits ? Comment les mettre en place ? Quels
en sont les enjeux ? Cet article vous donne les réponses en quelques étapes !
Pour ce faire, il faut tracer un périmètre aussi réduit que possible et inclure
tous les biens de valeur possédés par l’entreprise et qui doivent être protégés.
L’audit devra contrôler tout ce qui se trouve à l’intérieur de ce périmètre, sans
toucher ce qui ne s’y trouve pas.
Pour définir le périmètre de sécurité, il suffit de faire la liste de tous les biens
que possède l’entreprise. C’est une tâche ardue, car les entreprises omettent
souvent des éléments clés comme la documentation interne, détaillant les
politiques et procédures de l’entreprise.
On pense (à tort) que ces documents n’ont aucune valeur pour un potentiel
attaquant, mais ces informations sont précieuses pour l’entreprise elle-
même. S’ils venaient à être perdus ou détruits (par exemple, en raison d’une
panne matérielle, d’une erreur d’un employé ou d’un piratage), il faudra du
temps et de l’argent pour tout recommencer.
Voici une liste des menaces les plus courantes, qu’il faut inclure dans la
plupart des cas.
Comme mentionné ci-dessus, bien que ce soit quelque chose qui se produise
rarement, les conséquences d’une telle menace peuvent être énormes : mieux
vaut s’y préparer, juste au cas où.
Les attaques de pirates constituent sans doute l’une des plus grandes
menaces pour la sécurité des données et doivent toujours être prises en
compte dans un audit de sécurité.
Les ransomwares
Il s’agit d’une menace que les entreprises ne prennent pas toujours au sérieux,
mais à laquelle toutes sont confrontées : les employés (ou les fournisseurs
tiers) ayant accès au parc informatique peuvent facilement divulguer ou
utiliser des données à mauvais escient, sans qu’on ne puisse le détecter. Là
encore, mieux vaut y être préparé et l’inclure à la liste de menaces.
L’erreur humaine
Toutes les fuites de données ne sont pas menées dans une intention
malveillante : il existe aussi des employés maladroits, ou incompétents /
inconscients et susceptibles de commettre une erreur en divulguant des
données par accident. C’est même devenu courant, et c’est donc un risque à
prendre en compte.
Le phishing
Le passé
Le fait d’avoir déjà rencontré une menace spécifique peut avoir un impact sur
la probabilité de la rencontrer à l’avenir. Si l’entreprise a déjà été la cible d’un
piratage ou d’une attaque par déni de service, il y a des chances que cela se
reproduise.
Le présent
L’environnement
Est-ce que les concurrents directs font l’objet d’attaques ? Quelles sont les
menaces auxquelles votre secteur est confronté ?
Pare-feu et anti-virus
Filtre anti-spam
Un filtre anti-spam peut s’avérer utile pour lutter contre les attaques de
phishing et les logiciels malveillants envoyés par courrier. Même si les
employés sont correctement formés, et savent qu’il ne faut pas cliquer sur des
liens contenus dans un email suspect, il vaut mieux être prudent.
Contrôle d’accès
Informez vos employés des menaces qui pèsent sur eux et sur leur entreprise,
ainsi que les mesures mises en place pour lutter contre ces menaces.
Sensibiliser les employés est un excellent moyen de les faire passer d’un «
point faible » à une force.
Conclusion
Vous connaissez désormais les différents points à étudier pour auditer la
sécurité informatique de votre entreprise.
Vous avez identifié des failles ? Des experts en cybersécurité peuvent vous
aider à mieux sécuriser votre système d’information et repérer les faiblesses
de votre réseau.