Désormais, toutes les entreprises se numérisent et doivent respecter de plus en plus de normes. L’audit de sécurité d’un système d’information (SI) est à présent un incontournable.

Qu’est-ce qu’un audit du système d’information (SI) ?

Un audit informatique est un examen approfondi, par un expert indépendant, de l’architecture mise en place, des processus et des politiques informatiques d’une entreprise. L’objectif principal d’un audit informatique est de vérifier la conformité de l’entreprise avec les normes de sécurité, les réglementations et les politiques internes, ainsi que de mesurer les risques de sécurité informatique (audit SSI).

Deux types d’audit :

• Audit externe : cet audit peut être volontaire si votre entreprise souhaite avoir un regard extérieur ou si vous n’avez pas les compétences en interne. L’entreprise qui réalise l’audit externe doit être indépendante. Elle peut aussi être obligatoire (contrôle de la CNIL, conditions pour une levée de fonds, etc).
• Audit interne : cet audit est réalisé par des employés de l’entreprise, souvent de manière récurrente. L’objectif est d’identifier les opportunités d’amélioration et d’optimisation des systèmes informatiques. La répétition de cet audit permet de mettre en place la roue de Deming avec le PDCA (Plan Do Check Act) indispensable pour la conduite du changement.

Le but d’un audit interne va être d’améliorer le SI régulièrement pour être prêt lors des audits externes qui fournissent une vue impartiale.

Voici quelques exemples d’éléments à analyser lors d’un audit :

• Configuration du réseau
• Architecture
• Technologies de base de données
• Politique de sauvegarde

Qu’est-ce qu’un audit de sécurité d’un système d’information (SSI) ?

L’audit SSI vise à évaluer les vulnérabilités, les menaces et les risques pour la sécurité des données, en comprenant les processus métier. Elle évalue la conformité vis-a-vis des normes et réglementations qui concernent ladite entreprise.

Voici quelques éléments à vérifier lors de cet audit :

• Test d’intrusion
• Présence et analyse de la PSSI (Politique de Sécurité des Systèmes d’Information)
• Respect du guide d’hygiène de l’ANSSI
• Gestion des utilisateurs et des accès
• Cryptographie, gestionnaire de mots de passe

Différence entre audit SI et audit de sécurité d’un système d’information

L’audit du système d’informatique et l’audit de la sécurité des systèmes d’information, que nous avons vus précédemment, sont étroitement liés puisque si l’audit du SI est très détaillé, il embarque l’audit SSI ou au moins quelques points. Dans l’exemple précédent, la configuration du réseau peut appartenir à l’audit SSI.

Réalisation d’un audit de sécurité d’un système d’information étape par étape

Pour la suite, nous allons partir du principe que nous sommes une entreprise indépendante qui doit réaliser un audit d’un SI pour une entreprise qui souhaite améliorer son niveau de sécurité informatique. Notre travail ne consistera donc pas juste à réaliser l’audit, mais aussi accompagner l’entreprise dans la mise en place des améliorations.

Préparation

Avant de commencer l’audit, il faut définir le périmètre en question et déterminer les objectifs.

Il faut obtenir les autorisations nécessaires et informer les différents partis concernés (ex : si vous comptez réaliser un test d’intrusion sur une infrastructure hébergé chez un fournisseur tel qu’OVH).

Dans l’étape de préparation, il faut se poser différentes questions : quels sont les éléments du SI à examiner ? Qui va lire le rapport ? Quels sont les délais ? Quel(s) support(s) de rendu sont attendus ? et surtout quel délai est accordé pour l’audit.

PS : si vous réalisez un audit, il est recommandé de nuancer son propos en mentionnant « dans le délai imparti ».

Recueil du besoin

Le recueil du besoin est aussi appelé la phase d’interview. Elle a pour but d’interroger les différents acteurs afin d’obtenir un maximum d’informations sur le SI. L’objectif est de comprendre le contexte, les missions de l’entreprise et les processus clés pour leur bon fonctionnement.

Exemple : une société d’hébergement aura probablement comme processus clés les sauvegardes et la disponibilité.

Voici quelques questions qu’on peut retrouver lors d’une interview :

• Quels sont les objectifs opérationnels du système d’information ?
• Quels sont les processus critiques et les activités liées au système d’information ?
• Quelle est la politique de gestion des informations de l’entreprise et comment est-elle gérée ?
• Qui est responsable de quoi ?
• Quels sont les technologies utilisées pour gérer le système d’information ?
• Les données sensibles sont-elles protégées et gérées ?
• Les incidents de sécurité sont-ils gérés et enregistrés ?
• Le code est-il versionné ?

Dans cette phase, vous devez récupérer un maximum de documents s’ils existent : charte informatique, différents audits internes et externes, PCA et PRA ou encore SLA si on reprend notre exemple d’hébergeur.

Quelques documents indispensables, s’ils ne sont pas présents, il faudra les produire avant ou pendant la mise en place des recommandations futures :

Plan d’urbanisation du SI

Le plan d’urbanisation du SI est un document qui vise à définir comment le système d’information évolue pour prévoir les missions futures de l’entreprise tout en restant en adéquation avec les missions actuelles.

Quelques éléments à prendre en compte lors de la rédaction d’un plan d’urbanisation :

• Définir les missions actuelles de l’entreprise
• Définir les missions futures
• Définir les contraintes internes et externes
• Structure organisationnelle
• Etc.

Plan d’activité du SI

Le plan d’activité du SI est un document, étroitement lié au plan d’urbanisation, qui vise à définir les stratégies et objectifs auquel le système d’information actuel doit répondre. On définit quelle ressource doit répondre à quel(s) besoin(s). On définit les coûts associés ainsi que les responsabilités.

Son but principal est de s’assurer que le système d’information est aligné aux objectifs de l’entreprise et est conforme aux différents besoins métier.

Plan de Continuité d’Activité (PCA)

Le PCA est un document qui décrit les mesures nécessaires pour maintenir les activités critiques d’une entreprise. Dans la partie informatique, on parle aussi de Plan de Continuité Informatique (PCI).

Article sur le PCA et PCI en cours de préparation.

Plan de Reprise d’Activité (PRA)

Le PRA est un document qui décrit les mesures nécessaires pour relancer les activités critiques d’une entreprise. Dans la partie informatique, on parle aussi de Plan de Reprise Informatique (PRI).

Article sur le PRA et PRI en cours de préparation.

Diagnostic du besoin

La phase de diagnostic est une période pendant laquelle vous allez analyser toutes les données précédemment recueillies afin de déterminer les forces et faiblesses de l’entreprise. Cette étape est tout aussi cruciale, car elle vous permettra d’élaborer la stratégie du SI et établir un plan d’action pertinent.

Cette étape peut mettre en exergue des zones d’ombre. Il n’est pas rare de demander des précisions et donc de retourner dans le recueil du besoin. Le diagnostic est la phase la plus chronophage avec la création du rapport.

Dans notre exemple précis, l’audit n’est pas une fin, mais une nécessité pour arriver au résultat qui est pour rappel : améliorer le niveau de sécurité de l’entreprise.

Création du rapport

Le rapport se veut formel et le plus exhaustif possible. Il va servir de base pour mesurer les progrès dans le temps puisqu’il comprendra les résultats et les recommandations.

Le plan d’action peut être ajouté à ce rapport ou dans un autre document une fois la présentation faite.

Présentation du rapport

La présentation est sensiblement proche du rapport, bien que nous vous recommandions de changer de support pour que ça soit plus digeste à présenter.

Il comprend l’identification des projets d’évolution, l’élaboration de la stratégie du SI, le plan d’action pour atteindre les objectifs de l’entreprise. Cette partie va probablement évoluer, car les entreprises ne sont pas toujours d’accord avec les unités de temps ou les priorités, ce qui est normal puisqu’elles ont une vision plus globale que l’auditeur. S’entame alors une phase de discussion avec les deux partis qui argumentent afin d’avoir un plan d’action à la fois en adéquation avec les objectifs.

Définir le plan d’action

Le plan d’action reprend une partie des mesures que vous avez présentées dans le rapport suite à la phase de discussion avec l’entreprise et qu’ils ont validé.

Il comprend les mesures à prendre pour répondre au besoin initial, mais aussi les vulnérabilités, faiblesses ou problèmes précédemment trouvés.

Il inclut les priorités, les échéances et les délais (souvent en jours homme), les personnes responsables et les ressources nécessaires pour corriger les problèmes.

Estimer le coût de la mise en place du plan d’action

Le coût va dépendre du nombre de jours homme, les compétences nécessaires et des impacts sur l’entreprise en question.

Conduire le plan d’évolution du SI

Dans notre cas précis, l’entreprise souhaite que nous nous prenions la responsabilité du plan d’action qui est notre plan d’évolution. Nous serons responsables des délais, des améliorations et des correctifs.

Nous vous conseillons d’utiliser les méthodes agiles ou a minima des outils comme Trello, Microsoft Project, Youtrack ou même Excel. La mise en place de tableau de bord pour le suivi d’avancement peut se faire avec Tableau ou PowerBI.

Évaluer la mise en œuvre du plan d’action

Toujours dans l’objectif du PDCA et de l’amélioration continue, il faut régulièrement évaluer la mise en œuvre du plan d’action afin de réajuster le plus tôt possible en cas de dérive.

L’avantage est double puisque ça vous permettra de tenir au courant l’entreprise et les différents acteurs des progrès, mais aussi vous réaligner si les délais ne sont pas respectés.