L'importance de faire des audits de sécurité

Désormais, les simples firewalls et autres proxys ne suffisent plus à protéger vos données. Et sans stratégie de cyberdéfense clairement établie, il est souvent trop tard pour réagir. Toutefois, toutes les entreprises ne sont pas égales face aux menaces. En ce sens, un audit  de sécurité vous permettra de savoir exactement quels sont vos points faibles et vos besoins spécifiques en matière de protection.  

Pour être véritablement efficace, toute démarche de cybersécurité doit être intégrée dans un cycle d’amélioration continue en 3 étapes : 

• La phase de l'audit pour connaître précisément quelles sont vos failles

• La phase d’analyse des risques pour améliorer vos systèmes de protection 

• La phase de suivi pour tester votre sécurité au quotidien

L’audit de sécurité 

Quelles sont les bonnes pratiques en matière de sécurité ? Si l’ANSSI diffuse et améliore régulièrement les bonnes pratiques à adopter, l’entreprise ne possède pas toujours les ressources en interne, le temps ni le recul nécessaires pour vérifier et mettre en place ses recommandations. 

Dès lors, elle peut faire appel à un prestataire externe qui, à travers un audit global, pourra l’informer de la conformité de son système d’information vis-à-vis des réglementations en vigueur et lui proposer les recommandations adaptées à sa situation précise : revue d’une architecture d’éléments de sécurité, politique de renouvellement des mots de passe, back-up des données, sensibilisation des employés…

Ce premier audit de sécurité permet de fournir une cartographie globale des dispositifs de sécurité en interne, des failles potentielles et des points d’amélioration à apporter. Toutefois, il ne peut suffire seul à établir une politique efficace. En effet, une fois cette prise de conscience des risques de sécurité effectuée, il est nécessaire d’appliquer le bon niveau de protection au bon endroit.

Le recours à un prestataire PASSI, certification mise en place par l'ANSSI, est recommandé ou obligatoire dans les principaux référentiels / réglementations applicables (ex : RGS  - Référentiel Général de sécurité, RGPD – Règlementation Générale sur la Protection des Données, NIS - Network and Information System Security, LPM – Loi de Programmation Militaire).

Un prestataire qualifié PASSI garantit le respect sur le long terme d’un ensemble d’exigences contrôlées par l’ANSSI ainsi que la conformité à la norme ISO 19011 (Lignes directrices pour l'audit des systèmes de management).

L’audit de réglementation

Pour compléter votre audit de sécurité, il est également nécessaire de réaliser des audits de réglementation pour vous assurer de la conformité de votre système avec les lois en vigueur. Le RGPD, par exemple, impose aux entreprises de démontrer que les données personnelles des citoyens européens ne sont collectées que dans le cadre d’un usage précis, que leur confidentialité soit assurée, que leur stockage soit sécurisé… et qu’elles sont équipées pour détecter les éventuels vols de données et les reporter auprès de la CNIL dans les délais impartis. Attention, car en cas de non-respect, des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel de l'exercice précédent peuvent être prononcées. Depuis mai 2018, la CNIL a ainsi reçu plus de 11 000 plaintes . 

Ce sont des réglementations qui peuvent s’avérer très contraignantes dès qu’elles touchent au respect de la vie privée ou à la sécurité de l’État, et qui évoluent en permanence, rendant difficile leur suivi en interne. C’est pourquoi un audit effectué par un expert vous permettra non seulement de vous assurer de la conformité de vos systèmes, et d’éviter ainsi les risques de sanctions associés, mais également de renforcer la sécurité de vos données critiques et donc de votre activité. 

Temps, compétences techniques, analyse réglementaire, capacité de conseil… L’audit reste un exercice complexe mais indispensable pour permettre à l’entreprise d’analyser son existant, d’identifier ses priorités en matière de sécurité mais aussi de s’assurer de la conformité de ses dispositifs. Toutefois, la sophistication des attaques et la digitalisation des usages professionnels génèrent sans cesse de nouvelles menaces et de nouvelles failles. Dans le cas d’un projet SD-WAN, par exemple, il s’agira de vérifier les boîtiers et les configurations dans chaque site de l’entreprise. C’est pourquoi, quel que soit le projet – nouvelle application, réseau, Wi-Fi, messagerie, site web, application mobile, téléphonie… –, l’audit vous permet de garantir le bon niveau de sécurité de vos données. 

L’analyse de risques

Comment savoir alors quels sont les points à protéger en priorité ? Par un audit plus poussé dont l’objectif est d’analyser précisément les métiers de l’entreprise, afin de définir quels sont les points « vitaux » et potentiellement les plus critiques en termes de sécurité. L’analyse de risques permet, donc, d’un côté d’éviter la surprotection (et donc les surcoûts) de certains systèmes non prioritaires et, de l’autre, de s’assurer de couvrir l’ensemble des points essentiels au bon fonctionnement de l’entreprise. Dès lors, il est fortement recommandé d’effectuer des tests d’intrusion sur les points les plus importants. Ces tests permettent ainsi, en utilisant les mêmes méthodes et outils que les hackers, d’analyser les points de faiblesse du système d’information et de les corriger plus facilement, avant qu’une menace réelle ne puisse les exploiter. Autre test par exemple : envoyer un faux email de phishing à ses collaborateurs pour vérifier leur comportement vis-à-vis de ce type d’attaque et les sensibiliser davantage aux risques et aux bonnes pratiques à adopter. 

Toutefois, il est à noter que vous devez contrôler et tester vos dispositifs de sécurité régulièrement car de nouvelles menaces de plus en plus élaborées et difficiles à détecter, apparaissent sans cesse. C’est pourquoi vous devez ancrer votre politique de sécurité dans un processus d’amélioration continue. 

Surveiller en continu

Le dernier socle consiste à anticiper et surveiller en continue l’apparition d’une menace informatique grâce à la surveillance d’un SOC ou plus simplement par une analyse continue de vulnérabilités. En cas de détection d’une menace, l’opérateur télécoms prévient alors l’entreprise et peut l’accompagner pour l’éradiquer. Cette méthodologie de construction de sa stratégie de sécurité en 3 étapes est la plus pertinente qui soit dans le contexte actuel.