Comment faire un audit de sécurité informatique ?
De nombreuses entreprises considèrent l’audit en général, et l’audit de sécurité en particulier comme un processus stressant et intrusif : l’idée qu’un...
De nombreuses entreprises considèrent l’audit en général, et l’audit de sécurité en particulier comme un processus stressant et intrusif : l’idée qu’un...
Attention, accrochez-vous bien, j’ai un fait extrêmement important à vous communiquer. Vous êtes prêt ? Alors, voilà : nous vivons dans une ère où le...
Découvrez les recommandations partagées par Tobias Rohrle, solutions engineer chez Cloudflare, à l’occasion du Tech.Rocks Summit 2021. L’article...
En 2022, l’expérimentation, qui mêle testing et personnalisation, sera primordiale pour proposer une expérience pertinente à ses prospects et clients....
Lors de l’événement Tech.Rocks Summit 2021, Amélie Boucher, consultante et coach UX design chez Ergolab, a partagé son expertise dans une conférence...
3 extensions de traduction pour Firefox : voilà le programme de cet article. Vous êtes en pleine ouverture de votre entreprise à l’international ?...
Les sous-titres automatiques sont désormais disponibles pour toutes les nouvelles vidéos publiées sur la plateforme. L’article Twitter ajoute des...
ONLYOFFICE, spécialiste de la collaboration et de la productivité en entreprise, décrypte les avantages de passer par une solution bureautique décentralisée et...
Découvrez notre sélection de formations pour devenir un expert de Google Analytics. L’article 5 formations en ligne pour apprendre à utiliser Google...
Vous avez besoin de rédiger des textes publicitaires ? Nos conseils et exemples sont là pour vous y aider. Vous vous dites peut-être : à quoi bon un...
De nombreuses entreprises considèrent l’audit en général, et l’audit de sécurité en particulier comme un processus stressant et intrusif : l’idée qu’un auditeur se promène...
De nombreuses entreprises considèrent l’audit en général, et l’audit de sécurité en particulier comme un processus stressant et intrusif : l’idée qu’un auditeur se promène dans les locaux, en distrayant tout le monde et en s’immisçant dans les activités quotidiennes de l’entreprise les rebute souvent au point de renoncer à conduire des audits.
Alors, quelle est l’utilité réelle de ces audits ? Comment procéder ? Réponses dans cet article.
De plus, l’utilité même des audits est parfois remise en question : une évaluation régulière des risques n’est-elle pas suffisante pour élaborer une stratégie de sécurité et assurer la protection des données sensibles ? D’ailleurs, puisque les entreprises sont désormais soumises à des règles de conformité concernant la sécurité des données privées, elles sont de toute façon amenées à être confrontées à un audit officiel un jour ou l’autre.
Ne serait-il donc pas préférable d’attendre plutôt que de réaliser soi-même un audit de sécurité informatique ?
Non : les audits sont très utiles, car ils sont pourvoyeurs de bénéfices pour une entreprises. Les audits permettent en effet :
Dans l’ensemble, l’audit est un outil utile pour évaluer la cybersécurité ou s’assurer que l’entreprise est prête pour un audit de conformité.
Un audit de sécurité est une évaluation complète du système d’information d’une entreprise : en règle générale, cette évaluation mesure la sécurité d’un système informatique au regard d’une liste des meilleures pratiques, de normes extérieures établies ou de réglementations légales.
Un audit de sécurité complet évaluera les contrôles de sécurité d’une organisation concernant les éléments suivants :
La première chose à faire est de définir la portée de l’audit : qu’il s’agisse de vérifier l’état général de la sécurité dans l’entreprise ou de réaliser un audit spécifique à la sécurité du réseau, il faut savoir ce qui doit être examiné et ce qui doit être ignoré.
Pour ce faire, il faut tracer un périmètre aussi réduit que possible et inclure tous les biens de valeur que possédés par l’entreprise et qui doivent être protégés. L’audit devra contrôler tout ce qui se trouve à l’intérieur de ce périmètre, sans toucher ce qui ne s’y trouve pas.
Pour définir le périmètre de sécurité il suffit de faire la liste de tous les biens que possède l’entreprise. C’est une tâche ardue, car les entreprises omettent souvent des éléments clés comme la documentation interne, détaillant les politiques et procédures de l’entreprise. On pense (à tort) que ces documents n’ont aucune valeur pour un potentiel attaquant, mais ces informations sont précieuses pour l’entreprise elle-même, et si ces documents sont perdus ou détruits (par exemple, en raison d’une panne matérielle, d’une erreur d’un employé ou d’un piratage), il faudra du temps et de l’argent pour tout recommencer.
Une fois le périmètre de sécurité établi avec précision, il faut créer la liste des menaces auxquelles les données contenues dans ce dernier sont confrontées. Il faut essayer de trouver un juste équilibre entre la probabilité d’une menace et l’impact qu’elle aurait si elle se produisait.
Par exemple, l’éventualité une catastrophe naturelle est relativement faible, mais peut s’avérer dévastatrice : elle doit donc être incluse dans la liste.
Voici une liste des menaces les plus courantes, qu’il faut inclure dans la plupart des cas :
Comme mentionné ci-dessus, bien que ce soit quelque chose qui se produise rarement, les conséquences d’une telle menace peuvent être énormes : mieux faut s’y préparer, juste au cas où.
Les attaques de pirates constituent sans doute l’une des plus grandes menaces pour la sécurité des données et doivent toujours être prises en compte dans un audit de sécurité.
Ce type de logiciel malveillant a gagné en popularité ces dernières années, et mérite sa propre puce dans cette liste, surtout si l’entreprise opère dans le secteur de la santé, de l’éducation ou des finances.
L’essor de l’internet des objets a entraîné une augmentation des réseaux de « zombies ». Les attaques par déni de service sont désormais plus répandues et plus dangereuses que jamais. Si l’entreprise dépend d’un service réseau ininterrompu, il faut y songer.
Il s’agit d’une menace que les entreprises ne prennent pas toujours au sérieux, mais à laquelle toutes sont confrontées : les employés (ou les fournisseurs tiers) ayant accès au parc informatique peuvent facilement divulguer ou utiliser des données à mauvais escient, sans qu’on ne puisse le détecter. Là encore, mieux vaut y être préparé et l’inclure à la liste de menaces.
Toutes les fuites de données ne sont pas menées dans une intention malveillante : il existe aussi des employés maladroits, ou incompétents / inconscients susceptibles de commettre une erreur et divulguer les données par accident. C’est même devenu courant, et c’est donc un risque à prendre en compte.
Cela rejoint le point précédent : un pirate peut tenter d’accéder à un réseau en ciblant des employés, à l’aide de techniques d’ingénierie sociale, les incitant à donner volontairement leurs identifiants de connexion.
Il s’agit d’une menace à ne pas prendre à la légère.
Une fois la liste des menaces potentielles auxquelles les données incluses dans le périmètre peuvent être confrontées, il convient d’évaluer le risque de chacune de ces menaces.
Cette évaluation donnera « un prix » à chaque menace et permettra d’établir des priorités concernant les points de sécurité à renforcer. Pour ce faire, il faut prendre en compte :
Le fait d’avoir déjà rencontré une menace spécifique (ou non) peut avoir un impact sur la probabilité de la rencontrer à l’avenir. Si l’entreprise a déjà été la cible d’un piratage ou d’une attaque par déni de service, il y a des chances que cela se reproduise.
Quelles sont les tendances actuelles en matière de cybersécurité ? Quelles menaces sont de plus en plus populaires ou fréquentes ? Existe-t-il de nouvelles menaces émergentes ? Quelles sont les meilleures solutions de sécurité actuelles ?
Est-ce que les concurrents directs font l’objet d’attaques, quelles sont les menaces auxquelles ce secteur est confronté ?
Par exemple, si vous travaillez dans le secteur de la santé, vous serez davantage inquiété par des attaques de phishing ou à des ransomwares, alors que si vous êtes commerçant les attaques par déni de service ou d’autres logiciels malveillants sont plus à craindre.
Une fois les risques associés à chaque menace dûment établis, c’est l’étape finale : créer une liste de contrôles de sécurité à mettre en place. Si des contrôles sont en place il faut peut-être les améliorer, s’il n’en existe aucun répondant à une menace, il faut le mettre en place.
Les mesures de sécurité les plus courantes sont les suivantes :
Si l’entreprise possède ses propres serveurs, il faut absolument sécuriser l’accès physique à ceux-ci.
Dans le même temps, tous les appareils connectés de l’entreprise doivent voir leurs mots de passe par défaut modifiés et leur accès physique sécurisé afin d’éviter toute tentative de piratage.
La sauvegarde des données est très efficace en cas de catastrophe naturelle, ou d’attaque par un logiciel malveillant qui corrompt ou bloque l’accès aux données (ransomware).
Toutes les sauvegardes doivent être faites aussi fréquemment que possible, et accompagnées d’une procédure de restauration.
C’est de la cybersécurité élémentaire, mais il faut protéger le réseau avec des pare-feu correctement configurés, et les ordinateurs avec des anti-virus.
Un filtre anti-spam peut s’avérer utile pour lutter contre les attaques de phishing et les logiciels malveillants envoyés par courrier.
Même si les employés sont correctement formés, et savent qu’il ne faut pas cliquer sur des liens contenus dans un email suspect, il vaut mieux être prudent.
Il existe plusieurs façons de contrôler les accès et il est préférable de les mettre toutes en place. Tout d’abord, il faut contrôler le niveau de privilège des utilisateurs et adopter le principe du « moindre privilège » lors de la création de nouveaux comptes.
En outre, l’authentification à deux facteurs est devenue indispensable, car elle renforce considérablement la sécurité des connexions et permet de savoir qui a accédé aux données, et quand.
Afin de protéger l’entreprise contre les attaques de phishing, pour réduire la fréquence des erreurs, et s’assurer que les procédures de sécurité sont respectées, il est préférable de former les employés à la cybersécurité.
Informer les employés des menaces qui pèsent sur eux et sur leur entreprise, ainsi que les mesures mises en place pour lutter contre ces menaces. Sensibiliser les employés est un excellent moyen de les faire passer d’un « point faible » à une force.
Vous connaissez désormais les différents points à étudier pour auditer la sécurité informatique de votre entreprise.
Vous avez identifié des failles ? Des experts en cybersécurité peuvent vous aider à mieux sécuriser votre système d’information et repérer les faiblesses de votre réseau. Postez votre annonce gratuitement sur Codeur.com pour recevoir leurs devis.
Abonnez-vous pour recevoir notre sélection des meilleurs articles directement dans votre boîte mail.
Nous ne partagerons pas votre adresse e-mail.