Les 2 types d’audit de sécurité
Un audit interne est généralement réalisé par un ou plusieurs membres de l’équipe de sécurité de l’organisation. Il est habituellement effectué afin de vérifier l’adéquation avec les exigences de conformité réglementaire. L’audit interne doit produire un rapport décrivant l’état actuel de la stratégie de sécurité de l’information, y compris son efficacité, ainsi qu’une liste de recommandations sur la manière de l’améliorer.
Un audit externe, quant à lui, est généralement réalisé par un auditeur indépendant. Il peut être demandé par la direction, des clients, une partie prenante ou tout simplement un organisme officiel. L’audit externe doit produire un rapport qui respecte les normes applicables à un secteur spécifique.
L’objectif principal d’un audit externe est d’établir une vue d’ensemble de la situation de l’organisation en matière de sécurité et de voir si les résultats sont conformes aux déclarations de sécurité faites par l’entreprise auditée.
Pourquoi un audit ?
Les organisations peuvent procéder à des audits à tous moments, cependant certaines circonstances peuvent être davantage déterminantes à l’exécution d’un audit comme :
- Lorsqu’il y a un changement dans la stratégie de l’entreprise
- Quand des changements structurels importants sont apportés
- Lors d’un changement de direction, notamment des responsables de la sécurité des données, des cadres, etc.
- Dans le cas d’une fusion ou d’une acquisition d’entreprise
- Lorsque les exigences en matière de sécurité de l’information évoluent
- Quand une infrastructure informatique importante est mise en place
La plupart des audits de sécurité de l’information comportent un examen des documents techniques, administratifs et organisationnels de l’entreprise.
Des entretiens peuvent être opérés avec des employés, des administrateurs systèmes, des développeurs de logiciels et autres personnels concernés. Les connaissances et compétences des collaborateurs de sécurité de l’organisation sont parfois évaluées.
Les auditeurs procèdent à un examen des mesures de sécurité physique en place ainsi qu’à une analyse de la configuration de tous les matériels et logiciels.
Lors d’audits plus poussés, des tests de pénétration et des attaques d’hameçonnage sont simulés.
Se préparer à la réalisation d’un audit de sécurité informatique externe
Il faut dans un premier temps bien comprendre l’enjeu de celui-ci, car il s’agit d’un examen complet de la stratégie de sécurité d’une entreprise. Les auditeurs auront besoin d’informations sur les technologies de sécurité installées, notamment les solutions antivirus, les pares-feux, la prévention des pertes de données (DLP) et les solutions SIEM. Ils voudront voir un inventaire de tous les dispositifs en place.
Concernant la sécurité physique, il s’agit notamment de serrures, d’alarmes, de caméras de vidéosurveillance, de badges d’identification, etc. Les auditeurs souhaiteront connaître les solutions de sauvegarde et de récupération en place, comment et quand les correctifs/mises à jour sont installés, quelles applications sont implémentées, le processus d’approbation des applications tierces, etc.
Bien qu’un audit soit perçu comme un fardeau, la réalisation de celui-ci vous aidera à identifier les vulnérabilités, à respecter les réglementations en vigueur selon votre secteur d’activité (HIPAA, GDPR, CCPA, etc.) et à évaluer l’efficacité de votre programme de formation à la cybersécurité.
Pour mener à bien un audit de sécurité, vous aurez donc besoin de toute la visibilité possible des actifs dont vous êtes responsable et des personnes qui y ont accès. Aussi, vérifiez à bien communiquer avec les parties prenantes concernées sur les méthodes et l’objectif de l’audit.
Beaucoup d’entreprises ont tendance à se concentrer davantage sur le respect des réglementations en matière de protection des données que sur l’évaluation du risque pour leur organisation. Cette approche est tout à fait compréhensible. Toutefois, l’inconvénient de celle-ci est que les réglementations ne sont pas universelles. Le simple fait de cocher des cases pour éviter les problèmes avec les autorités peut créer des failles dans votre dispositif de sécurité.
L’aide au passage d’un audit
S’il est théoriquement possible d’obtenir ces informations en examinant les journaux du serveur natif, ce n’est pas l’approche recommandée, car cette tâche est chronophage et fastidieuse.
Une meilleure approche consisterait à adopter une solution d’audit et de contrôle des accès en temps réel qui regroupera les données d’événements provenant de plusieurs sources. Tous les événements importants seront notifiés sur un tableau de bord unique.
Vous pourrez trier vos recherches pour vous aider à identifier rapidement des événements spécifiques. Il sera facile par exemple de savoir lorsque des données sensibles sont consultées, déplacées, modifiées ou supprimées et par qui. Des rapports prédéfinis peuvent être produits et présentés aux autorités ou aux parties prenantes concernées.
Savoir exactement quelles données vous stockez et où elles se trouvent est la première étape vers un programme de sécurité de l’information efficace.