Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Comment (et pourquoi) mener des audits de cybersécurité dans son entreprise

mai 2020 par GlobalSign

L’un des pièges courants pour les entreprises est de partir du principe que leurs solutions de cybersécurité sont maintenues et gérées par le biais d’évaluations des risques standards.

Ce genre de postulat peut engendrer de gros problèmes organisationnels. Aujourd’hui en effet, l’essor des technologies et leur utilisation en entreprise dépassent largement le cadre d’une évaluation générale. Nous aborderons ici les étapes pour la mise en place d’une évaluation vaste et approfondie des risques de sécurité spécifiques à votre entreprise.

Qu’est-ce qu’un audit interne et pourquoi est-ce nécessaire ?

L’évaluation de la cybersécurité est une opération absolument cruciale pour déterminer les raisons pour lesquelles une entreprise utilise certaines technologies, et de quelle manière. Cela permet effectivement de définir des objectifs et de créer des paramètres aux fins suivantes :

- Définir des normes de sécurité – Un audit interne permettra aux entreprises de décider quels sont ses principes de sécurité et de choisir comment communiquer sur le sujet avec l’ensemble de ses collaborateurs.
- Respecter les règles et la réglementation – L’audit montrera à l’entreprise si ses solutions cyber respectent d’une part ses propres standards, mais aussi les réglementations externes obligatoires.
- Combler les manques – Un audit approfondi permettra à l’entreprise de repérer les lacunes dans ses mesures de sécurité. Elle pourra ainsi apporter les corrections nécessaires pour améliorer son système actuel et identifier les niveaux de performance de ses solutions en place.

L’audit interne est utile pour faire le point sur l’efficacité de son cyberinfrastructure actuelle ou se préparer en vue d’un audit externe réalisé par des professionnels.
Pour le premier semestre 2019, le site Forbes.com rapportait plus de 3 800 violations de sécurité révélées au grand jour et ayant entraîné la compromission de 4,1 milliards de documents. En réalisant au moins un audit de cybersécurité complet tous les trimestres, une entreprise reste en phase avec les dernières technologies de cybersécurité pour éviter que cela ne lui arrive.

Comment réaliser un audit de cybersécurité approfondi : différences entre audit interne et externe

Il y a plusieurs façons de réunir les données nécessaires, mais l’on devra tout d’abord choisir entre un audit interne ou externe. Forts de leurs connaissances et de leur vaste expérience du sujet, les auditeurs externes sont capables d’identifier les failles et les violations de sécurité sur une cyberinfrastructure donnée.

Le hic : leur prix élevé et le fait qu’il est difficile d’identifier les professionnels qui possèdent les compétences et l’expérience requises. Or, le succès d’un audit dépendra en grande partie de la capacité de l’entreprise à communiquer avec son auditeur. Si l’auditeur ne peut accéder rapidement aux données dont il a besoin, l’audit prendra plus de temps, faisant inutilement grimper la facture et le risque d’obtenir des résultats incorrects.
Tous ces facteurs concourent à en faire plus un luxe qu’une nécessité — d’où la propension des grands groupes à considérer l’audit comme une dépense courante.

Autre possibilité, les audits internes qui constituent pour la plupart des petites et moyennes entreprises une solution beaucoup plus viable. Le patron d’une PME connaît déjà les processus de son entreprise, et peut collecter les données dont il a besoin sans perturber les habitudes de travail. Ce n’est pas le cas d’un auditeur externe qui doit tout d’abord passer du temps sur ces points avant de pouvoir entamer sa mission.

5 questions à intégrer à son audit de cybersécurité

Malgré son apparente complexité et l’idée qu’un audit interne exige une énorme quantité de travail, il s’agit en fait ni plus ni moins que de définir des objectifs et des indicateurs clés de performance (KPI), puis de vérifier l’adéquation des politiques de l’entreprise avec ces objectifs. Les questions suivantes permettent d’y voir plus clair :

- Quels sont nos paramètres de sécurité ?
Conformément aux pratiques du Règlement général sur la protection des données (RGPD), toute entreprise qui traite avec des citoyens de l’UE est légalement tenue de désigner un délégué à la protection des données chargé de contrôler toutes les données internes et externes. La personne désignée pour cette mission aura un rôle central à jouer dans l’audit.

On commencera par déterminer ce qui pourrait constituer un risque pour l’activité au quotidien. En clair, l’on va devoir établir la liste de ses actifs :
- Équipement informatique
- Informations sensibles (données relatives à l’entreprise et aux clients)
- Tout ce qui est crucial et dont la remise en état en cas de problème nécessite du temps ou de l’argent

Une fois vos actifs identifiés, l’entreprise doit décider avec son DPO du périmètre de ses paramètres de sécurité.

Les actifs peuvent être, grossièrement, divisés en deux groupes :
- Éléments inclus dans l’audit
- Éléments qui ne seront pas inclus dans l’audit Naturellement, il est impossible de tout contrôler. L’entreprise doit donc placer au cœur de son audit ses actifs les plus importants puis élargir progressivement le cercle pour déterminer ce qui est vraiment essentiel.

Quelles sont les menaces qui pèsent sur l’entreprise ?

Une fois que l’on a identifié nos actifs les plus importants, on se doit d’identifier ce qui constitue une menace pour eux. Cette étape est essentielle, car les problèmes auxquels l’entreprise pourrait se heurter sont de tous ordres : du mot de passe insuffisamment protégé par ses employés et la violation de données, jusqu’aux incendies et inondations, parmi les catastrophes possibles. Si l’audit doit effectivement prendre en compte toutes les menaces, la liste peut être illimitée, puisqu’il est impossible de se protéger contre toutes les menaces imaginables. Néanmoins, tant que l’entreprise place au premier plan ce qui est absolument crucial pour sa gestion quotidienne, elle prend toutes les mesures raisonnables pour protéger ses employés et elle-même contre d’éventuelles cybermenaces.

Nous avons dressé la liste des dangers les plus courants :

- Employés
La solidité d’une chaîne se mesure à l’aune de son maillon le plus faible. Si les employés ne constituent pas une première ligne de défense, cela suffit à menacer l’intégrité de toute l’infrastructure. Il est alors essentiel de se demander si les employés sont formés à la cybersécurité. Seraient-ils capables d’identifier les activités suspectes et de suivre des protocoles de sécurité définis ?

- Hameçonnage/ Phishing
Les attaques de phishing sont à l’origine de la plupart des violations de données. De nombreuses tentatives de phishing permettent même de contourner les mesures de sécurité par défaut — d’où l’importance pour les employés d’être formés pour savoir repérer ce type d’activité.

- Menaces internes
Personne ne veut imaginer qu’un collaborateur interne puisse nuire à son entreprise, par pure malveillance ou accident. Malheureusement, cela arrive, et c’est un problème assez courant.
- Attaques par déni de service distribué
Une faille DDoS attaque en substance une cible (généralement un serveur web), le surcharge et l’empêche de fonctionner normalement. C’est notamment le cas des sites marchands.
- Mots de passe vulnérables
En 2018, 81 % des violations de données étaient dues à des mots de passe faibles. L’acquisition de mots de passe faibles ou l’achat illégal de mots de passe constituent les techniques les plus fréquemment employées par les hackers pour accéder à un réseau.
- Malwares
Les logiciels malveillants ou malwares peuvent se présenter sous différentes formes : chevaux de Troie, logiciels espions (spywares) et vers, sans oublier les rançongiciels (ransomware) dont la dangerosité est plus en plus inquiétante.
- Vols et catastrophes
Bien qu’aucun de ces événements ne soit probable, les conséquences financières d’un manque de préparation pourraient être lourdes pour une entreprise.
- Équipements tiers
En autorisant ses employés à connecter leurs équipements personnels au WiFi de l’entreprise ou à utiliser des clés USB, l’on risque d’affaiblir involontairement nos protocoles de sécurité.

Nos mesures de sécurité actuelles fonctionnent-elles ?

Une fois que l’on aura identifié les menaces auxquelles l’on pourrait se heurter, il est nécessaire de faire le point pour évaluer si les mesures de sécurité actuelles sont à la hauteur et permettent d’assurer la défense de sa cyberinfrastructure.

À ce stade, l’entreprise évaluera toutes ses mesures de sécurité afin d’identifier les faiblesses : certains processus de sécurité sont-ils obsolètes et faut-il les améliorer ? L’organisation souffre-t-elle d’un manque de connaissances ou se montre-t-elle négligente sur le sujet de la cybersécurité ? Voilà un domaine où il serait utile de faire appel à un auditeur externe puisqu’aucun parti pris ne viendrait interférer avec ses conclusions.

Un audit de sécurité doit s’abstraire des éventuelles prédispositions à l’égard d’employés qui occupent certaines fonctions ou même des performances de l’entreprise même. Si une personne présente plus d’aptitudes à l’exercice d’une fonction de cybersécurité, elle doit être affectée à ce rôle pour assurer une protection permanente.

Comment hiérarchiser les risques ?

Dans un audit, la hiérarchisation des risques est sans doute l’étape la plus importante de toute la procédure. L’entreprise doit tout d’abord prendre la liste des menaces potentielles que nous avons évoquées plus haut, puis comparer les dommages potentiels avec la probabilité que ces menaces se concrétisent. Elle doit ensuite assigner un score de risque à chacune.

Lorsque l’on hiérarchise les risques pour les évaluer, il est important de prendre en compte les points suivants :
- Tendances récentes
Quelles méthodes utilisent actuellement les hackers pour accéder aux données ? Quelles sont les menaces dont le niveau de dangerosité est en hausse ? Y a-t-il des innovations qui permettraient d’offrir plus de protection ?
- Tendances liées à votre secteur d’activité
Si une entreprise exerce dans le secteur médical ou financier, elle a plus de risques d’être victime d’une tentative de violation de sa sécurité. Quelles sont les tendances qui prévalent dans son secteur et comment s’en prémunir de manière plus proactive ?
- Violations historiques
L’entreprise a-t-elle déjà été piratée ? Y a-t-il déjà eu atteinte à sa sécurité physique par le passé ? A-t-elle mis en place des mesures pour éviter que cela ne se reproduise ?
- Législation et conformité
De quelle nature est l’organisation : privée ou publique ? Traite-t-elle chaque jour des données sensibles ? Qui a accès à ces données ? Il est essentiel de répondre honnêtement à ces questions, car cela influe sur le score de menace que l’on attribue à chaque actif.

Comment exploiter les résultats de l’audit ?

Dans la dernière partie de l’audit, l’entreprise va devoir reprendre sa liste de menaces hiérarchisées et décider comment procéder pour la mise en place de mesures de sécurité visant à neutraliser ou à éradiquer le risque de menace. La liste sera différente suivant le type d’entreprise, son secteur d’activité et le niveau de sécurité exigé. Nous vous proposons ci-après quelques-unes des solutions et mesures de sécurité les plus courantes :

- Ateliers de formation
Même de modestes actions de sensibilisation et de formation à la sécurité peuvent largement contribuer à réduire l’impact d’une cyberattaque. Les employés sont des êtres humains. Ils commettront donc des erreurs. Cependant, la mise en place d’ateliers de formation et l’organisation régulière de sessions de réactivation des connaissances permettront de sensibiliser davantage les collaborateurs à la cybersécurité et de minimiser les erreurs.

- Sauvegardes
Avec le rôle croissant des technologies sur le lieu de travail, de nombreuses entreprises sont aujourd’hui entièrement dématérialisées — la charge est donc reportée sur le stockage et les sauvegardes en ligne. On estime que près de la moitié des petites et moyennes entreprises n’ont pas de plan de sauvegarde et de restauration des données, et que 60 % de ces entreprises mettent la clé sous la porte dans les six mois après avoir perdu leurs données. Si une entreprise effectue régulièrement des sauvegardes de ses données en dehors de son réseau principal, elle aura toujours quelque chose sur quoi se rabattre en cas de crise.

- Protection des e-mails
Comme nous l’avons déjà mentionné, les attaques de phishing sont en augmentation, en partie du fait de leur sophistication croissante et des difficultés pour les repérer. Il suffit d’un clic sur un e-mail de phishing pour qu’un cyberagresseur ait accès à nos données. Certes les filtres antispam sont là pour aider à éliminer ce type d’e-mails, mais rien ne vaut des employés formés à les reconnaître.

- Mises à jour des logiciels
Nous avons tous vécu ce genre de situation : on allume son ordinateur et l’on découvre que notre machine est en train d’installer et de mettre à jour nos logiciels. Aussi agaçant que cela puisse être, c’est également d’une importance capitale. Ces mises à jour logicielles contiennent souvent les derniers correctifs de sécurité essentiels pour protéger notre machine. Il est donc très important d’appliquer les mises à jour manuelles de notre plan de sécurité pour que toutes les machines de notre réseau soient à jour.

- Gestionnaire de mots de passe
L’être humain n’est pas fait pour se souvenir de centaines de mots de passe uniques et complexes. C’est pour cela que bien souvent, on utilise les variantes des mêmes mots de passe de manière inlassable. Un logiciel de gestion des mots de passe enregistre les mots de passe uniques et compliqués. Il permet à ses utilisateurs de se connecter facilement à un site ou une application. Cela élimine le risque lié au partage de fichiers de mots de passe et les rend beaucoup plus difficiles à deviner.

- Surveillance des réseaux
Les cybercriminels n’auront pas besoin de se faire prier une deuxième fois pour accéder à un réseau donné. Pour lutter contre ce phénomène, il peut être utile de rechercher quels sont les meilleurs logiciels de surveillance réseau capables de nous alerter de toute activité suspecte, comme les tentatives d’accès à partir de sources douteuses.




Voir les articles précédents

    

Voir les articles suivants