Comment faire un audit de

sécurité informatique ?

De nombreuses entreprises considèrent l’audit en général, et l’audit de

sécurité en particulier, comme un processus stressant et intrusif. L’idée qu’un
auditeur se promène dans les locaux en distrayant tout le monde et en
s’immisçant dans les activités quotidiennes de l’entreprise les rebute souvent
au point de renoncer à conduire des audits. Pourtant, ils s’avèrent très utiles et
parfois même nécessaires !

Quelle est l’utilité réelle de ces audits ? Comment les mettre en place ? Quels
en sont les enjeux ? Cet article vous donne les réponses en quelques étapes !

• Qu’est-ce qu’un audit de sécurité ?

• À quoi sert un audit de sécurité informatique ?

• 1. Définir la portée de l’audit de sécurité informatique

• 2. Définir les menaces auxquelles l’entreprise est confrontée

• 3. Calculer les risques de cybersécurité

• 4. Contrôler la sécurité informatique de l’entreprise

Qu’est-ce qu’un audit de sécurité ?
Un audit de sécurité est une évaluation complète du système
d’information d’une entreprise. En règle générale, cette évaluation mesure la
sécurité d’un système informatique au regard d’une liste des meilleures
pratiques, de normes extérieures établies ou de réglementations légales.

Un audit de sécurité complet évaluera les contrôles de sécurité d’une

organisation concernant les éléments suivants :

• Les composants physiques du système d’information ;

• L’environnement dans lequel le système est hébergé ;

• Les applications et les logiciels (y compris les correctifs de sécurité que

les administrateurs système ont déjà mis en œuvre) ;

• Les vulnérabilités du réseau (y compris les évaluations des informations

lorsqu’elles circulent entre différents points à l’intérieur et à l’extérieur du
réseau de l’organisation) ;

• La dimension humaine : par exemple, la façon dont les employés

recueillent, partagent et stockent les informations sensibles.
À quoi sert un audit de sécurité informatique ?
De plus, l’utilité même des audits est parfois remise en question : une
évaluation régulière des risques n’est-elle pas suffisante pour élaborer une
stratégie de sécurité et assurer la protection des données sensibles ?

D’ailleurs, puisque les entreprises sont désormais soumises à des règles de

conformité concernant la sécurité des données privées, elles sont de toute
façon amenées à être confrontées à un audit officiel un jour ou l’autre.

Ne serait-il donc pas préférable d’attendre plutôt que de réaliser soi-même

un audit de sécurité informatique ? Non : les audits sont très utiles, car ils sont
pourvoyeurs de bénéfices pour une entreprise.

En effet, les audits permettent :

• D’établir une base de référence en matière de sécurité : les résultats

des audits menés au fil des ans servent de référence fiable pour évaluer
les performances en matière de sécurité.

• De vérifier la bonne application des réglementations et des bonnes

pratiques de sécurité : un audit permet de s’assurer que les mesures de
cybersécurité mises en place dans l’entreprise sont appliquées et
suivies à la lettre.

• De déterminer l’état de la sécurité et formuler une stratégie pour

l’avenir : l’audit démontre une situation à un instant T, de manière
beaucoup plus détaillée qu’une simple évaluation des risques. Il ne se
contente pas de mettre en évidence des éléments manquants, mais
prend également en compte les processus existants et montre
pourquoi et comment ils doivent être améliorés.

Dans l’ensemble, l’audit est un outil utile pour évaluer la cybersécurité ou

s’assurer que l’entreprise est prête pour un audit de conformité. Mais plusieurs
mesures doivent être prises pour que l’audit soit un succès !
1. Définir la portée de l’audit de sécurité
informatique
La première chose à faire est de définir la portée de l’audit : qu’il s’agisse de
vérifier l’état général de la sécurité dans l’entreprise ou de réaliser un audit
spécifique à la sécurité du réseau, il faut savoir ce qui doit être examiné et ce
qui doit être ignoré.

Pour ce faire, il faut tracer un périmètre aussi réduit que possible et inclure
tous les biens de valeur possédés par l’entreprise et qui doivent être protégés.
L’audit devra contrôler tout ce qui se trouve à l’intérieur de ce périmètre, sans
toucher ce qui ne s’y trouve pas.

Pour définir le périmètre de sécurité, il suffit de faire la liste de tous les biens
que possède l’entreprise. C’est une tâche ardue, car les entreprises omettent
souvent des éléments clés comme la documentation interne, détaillant les
politiques et procédures de l’entreprise.

On pense (à tort) que ces documents n’ont aucune valeur pour un potentiel
attaquant, mais ces informations sont précieuses pour l’entreprise elle-
même. S’ils venaient à être perdus ou détruits (par exemple, en raison d’une
panne matérielle, d’une erreur d’un employé ou d’un piratage), il faudra du
temps et de l’argent pour tout recommencer.

2. Définir les menaces auxquelles l’entreprise

est confrontée
Une fois le périmètre de sécurité établi avec précision, il faut créer la liste des
menaces auxquelles les données contenues dans ce dernier sont
confrontées. Il faut essayer de trouver un juste équilibre entre la probabilité
d’une menace et l’impact qu’elle aurait si elle se produisait.
Par exemple, l’éventualité une catastrophe naturelle est relativement faible,
mais peut s’avérer dévastatrice : elle doit donc être incluse dans la liste.

Voici une liste des menaces les plus courantes, qu’il faut inclure dans la
plupart des cas.

Les catastrophes naturelles

Comme mentionné ci-dessus, bien que ce soit quelque chose qui se produise
rarement, les conséquences d’une telle menace peuvent être énormes : mieux
vaut s’y préparer, juste au cas où.

Les logiciels malveillants / le hacking

Les attaques de pirates constituent sans doute l’une des plus grandes
menaces pour la sécurité des données et doivent toujours être prises en
compte dans un audit de sécurité.

Les ransomwares

Ce type de logiciel malveillant a gagné en popularité ces dernières années. Il

mérite sa propre place dans cette liste, surtout si l’entreprise opère dans le
secteur de la santé, de l’éducation ou des finances.

Les attaques par déni de service

L’essor de l’internet des objets a entraîné une augmentation des réseaux de «

zombies ». Les attaques par déni de service sont désormais plus répandues et
plus dangereuses que jamais. Si l’entreprise dépend d’un service réseau
ininterrompu, il faut y songer.
Le personnel malveillant

Il s’agit d’une menace que les entreprises ne prennent pas toujours au sérieux,
mais à laquelle toutes sont confrontées : les employés (ou les fournisseurs
tiers) ayant accès au parc informatique peuvent facilement divulguer ou
utiliser des données à mauvais escient, sans qu’on ne puisse le détecter. Là
encore, mieux vaut y être préparé et l’inclure à la liste de menaces.

L’erreur humaine

Toutes les fuites de données ne sont pas menées dans une intention
malveillante : il existe aussi des employés maladroits, ou incompétents /
inconscients et susceptibles de commettre une erreur en divulguant des
données par accident. C’est même devenu courant, et c’est donc un risque à
prendre en compte.

Le phishing

Cela rejoint le point précédent : un pirate peut tenter d’accéder à un réseau

en ciblant des employés, à l’aide de techniques d’ingénierie sociale, les
incitant à donner volontairement leurs identifiants de connexion. Il s’agit d’une
menace à part entière, qui ne doit pas être prise à la légère.
3. Calculer les risques de cybersécurité
Une fois réalisée la liste des menaces auxquelles les données incluses dans le
périmètre peuvent être confrontées, il convient d’évaluer le risque de
chacune de ces menaces.

Cette évaluation donnera « un prix » à chaque menace et permettra d’établir

des priorités concernant les points de sécurité à renforcer. Pour ce faire, il faut
prendre en compte trois points essentiels.

Le passé

Le fait d’avoir déjà rencontré une menace spécifique peut avoir un impact sur
la probabilité de la rencontrer à l’avenir. Si l’entreprise a déjà été la cible d’un
piratage ou d’une attaque par déni de service, il y a des chances que cela se
reproduise.

Le présent

Quelles sont les tendances actuelles en matière de cybersécurité ? Quelles

menaces sont de plus en plus populaires ou fréquentes ? Existe-t-il de
nouvelles menaces émergentes ? Quelles sont les meilleures solutions de
sécurité actuelles ? La réponse à ces questions permettra de se préparer à
toutes les éventualités.

L’environnement

Est-ce que les concurrents directs font l’objet d’attaques ? Quelles sont les
menaces auxquelles votre secteur est confronté ?

Si vous travaillez dans le secteur de la santé, vous serez davantage inquiété

par des attaques de phishing ou à des ransomwares, alors que si vous êtes
commerçant, les attaques par déni de service ou d’autres logiciels
malveillants sont plus à craindre.
 De ce fait, il est nécessaire de prêter attention à votre environnement pour
pouvoir identifier toutes les menaces qui l’entourent.

4. Contrôler la sécurité informatique de

l’entreprise
Une fois les risques associés à chaque menace dûment établis, c’est l’étape
finale : créer une liste de contrôles de sécurité à mettre en place. Si des
contrôles sont déjà présents, il faut peut-être les améliorer ; s’il n’en existe
aucun répondant à une menace, il faut en mettre en place.

Voici les mesures de sécurité les plus courantes.

Sécurité physique des serveurs

Si l’entreprise possède ses propres serveurs, il faut absolument sécuriser

l’accès physique à ceux-ci. Dans le même temps, tous les appareils
connectés de l’entreprise doivent voir leurs mots de passe par défaut modifiés
et leur accès physique sécurisé afin d’éviter toute tentative de piratage.
Sauvegarde des données

La sauvegarde des données est très efficace en cas de catastrophe naturelle,

ou d’attaque par un logiciel malveillant qui corrompt ou bloque l’accès aux
données (ransomware). Toutes les sauvegardes doivent être faites aussi
fréquemment que possible et accompagnées d’une procédure de
restauration.

Pare-feu et anti-virus

C’est de la cybersécurité élémentaire, mais il faut protéger le réseau avec des

pare-feu correctement configurés et les ordinateurs avec des anti-virus.

Filtre anti-spam

Un filtre anti-spam peut s’avérer utile pour lutter contre les attaques de
phishing et les logiciels malveillants envoyés par courrier. Même si les
employés sont correctement formés, et savent qu’il ne faut pas cliquer sur des
liens contenus dans un email suspect, il vaut mieux être prudent.

Contrôle d’accès

Il existe plusieurs façons de contrôler les accès et il est préférable de les

mettre toutes en place. Tout d’abord, il faut contrôler le niveau de privilège
des utilisateurs et adopter le principe du « moindre privilège » lors de la
création de nouveaux comptes.

En outre, l’authentification à deux facteurs est devenue indispensable, car elle

renforce considérablement la sécurité des connexions et permet de savoir qui
a accédé aux données et quand.
Sensibilisation des employés

Afin de protéger l’entreprise contre les attaques de phishing, pour réduire la

fréquence des erreurs et vous assurer que les procédures de sécurité sont
respectées, il est préférable de former les employés à la cybersécurité.

Informez vos employés des menaces qui pèsent sur eux et sur leur entreprise,
ainsi que les mesures mises en place pour lutter contre ces menaces.
Sensibiliser les employés est un excellent moyen de les faire passer d’un «
point faible » à une force.

Conclusion
Vous connaissez désormais les différents points à étudier pour auditer la
sécurité informatique de votre entreprise.

Vous avez identifié des failles ? Des experts en cybersécurité peuvent vous
aider à mieux sécuriser votre système d’information et repérer les faiblesses
de votre réseau.