Comment (et pourquoi) mener des audits de cybersécurité dans votre entreprise

L’un des pièges courants pour les entreprises est de partir du principe que leurs solutions de cybersécurité sont maintenues et gérées par le biais d’évaluations des risques standards. 

Ce genre de postulat peut engendrer de gros problèmes organisationnels. Aujourd’hui en effet, l’essor des technologies et leur utilisation en entreprise dépassent largement le cadre d’une évaluation générale. 

Dans ce billet de blog, nous aborderons les étapes pour la mise en place d’une évaluation vaste et approfondie des risques de sécurité spécifiques à votre entreprise. 

Qu’est-ce qu’un audit interne et pourquoi est-ce nécessaire ?

L’évaluation de la cybersécurité est une opération absolument cruciale pour déterminer les raisons pour lesquelles votre entreprise utilise certaines technologies, et de quelle manière. Cela vous permet effectivement de définir des objectifs et de créer des paramètres aux fins suivantes : 

• Définir des normes de sécurité : Votre audit interne vous permettra de décider quels sont vos principes de sécurité et de choisir comment communiquer sur le sujet avec l’ensemble des collaborateurs de votre organisation.
• Respecter les règles et la réglementation : Votre audit vous montrera si vos solutions cyber respectent d’une part vos propres standards, mais aussi les réglementations externes obligatoires.
• Combler les manques : Un audit approfondi vous permettra de repérer les lacunes dans vos mesures de sécurité. Vous pourrez ainsi apporter les corrections nécessaires pour améliorer votre système actuel et identifier les niveaux de performance de vos solutions en place.

L’audit interne est utile pour faire le point sur l’efficacité de votre cyberinfrastructure actuelle ou vous préparer en vue d’un audit externe réalisé par des professionnels.

Pour le premier semestre 2019, le site Forbes.com rapportait plus de 3 800 violations de sécurité révélées au grand jour et ayant entraîné la compromission de 4,1 milliards de documents. En réalisant au moins un audit de cybersécurité complet tous les trimestres, vous restez en phase avec les dernières technologies de cybersécurité pour éviter que cela ne vous arrive. 

Comment réaliser un audit de cybersécurité approfondi : différences entre audit interne et externe

Il y a plusieurs façons de réunir les données nécessaires, mais vous devrez tout d’abord choisir entre un audit interne ou externe.

Forts de leurs connaissances et de leur vaste expérience du sujet, les auditeurs externes sont capables d’identifier les failles et les violations de sécurité sur votre cyberinfrastructure.

Le hic : leur prix élevé et le fait qu’il est difficile d’identifier les professionnels qui possèdent les compétences et l’expérience requises.

Or, le succès de votre audit dépendra en grande partie de votre capacité à communiquer avec votre auditeur. Si votre auditeur ne peut accéder rapidement aux données dont il a besoin, l’audit prendra plus de temps, faisant inutilement grimper la facture et le risque d’obtenir des résultats incorrects.

Tous ces facteurs concourent à en faire plus un luxe qu’une nécessité — d’où la propension des grands groupes à considérer l’audit comme une dépense courante.

Autre possibilité, les audits internes qui constituent pour la plupart des petites et moyennes entreprises une solution beaucoup plus viable. Le patron d’une PME connaît déjà les processus de son entreprise, et peut collecter les données dont il a besoin sans perturber les habitudes de travail. Ce n’est pas le cas d’un auditeur externe qui doit tout d’abord passer du temps sur ces points avant de pouvoir entamer sa mission.

5 questions à intégrer à votre audit de cybersécurité

Malgré son apparente complexité et l’idée qu’un audit interne exige une énorme quantité de travail, il s’agit en fait ni plus ni moins que de définir des objectifs et des indicateurs clés de performance (KPI), puis de vérifier l’adéquation des politiques de l’entreprise avec ces objectifs. Les questions suivantes permettent d’y voir plus clair :

1 : Quels sont nos paramètres de sécurité ?

Conformément aux pratiques du Règlement général sur la protection des données (RGPD), toute entreprise qui traite avec des citoyens de l’UE est légalement tenue de désigner un délégué à la protection des données chargé de contrôler toutes les données internes et externes. La personne que vous désignerez pour cette mission aura un rôle central à jouer dans votre audit.

Vous commencerez par déterminer ce qui pourrait constituer un risque pour votre activité au quotidien. En clair, vous allez devoir établir la liste de vos actifs :

• Équipement informatique
• Informations sensibles (données relatives à l’entreprise et aux clients)
• Tout ce qui est crucial et dont la remise en état en cas de problème nécessite du temps ou de l’argent 

Une fois vos actifs identifiés, vous devez décider avec votre DPO du périmètre de vos paramètres de sécurité.

Vous pouvez en gros diviser vos actifs en deux groupes :

• Éléments inclus dans l’audit
• Éléments qui ne seront pas inclus dans l’audit

Naturellement, il est impossible de tout contrôler. Vous devez donc placer au cœur de votre audit vos actifs les plus importants puis élargir progressivement le cercle pour déterminer ce qui est vraiment essentiel.

2. Quelles sont les menaces qui pèsent sur nous ?

Une fois que vous avez identifié vos actifs les plus importants, vous devez identifier ce qui constitue une menace pour eux.

Cette étape est essentielle, car les problèmes auxquels vous pourriez vous heurter sont de tous ordres : du mot de passe insuffisamment protégé par vos employés et la violation de données, jusqu’aux incendies et inondations, parmi les catastrophes possibles.

Si votre audit doit effectivement prendre en compte toutes les menaces, la liste peut être illimitée, puisqu’il est impossible de se protéger contre toutes les menaces imaginables. Néanmoins, tant que vous placez au premier plan ce qui est absolument crucial pour la gestion quotidienne de votre entreprise, vous prenez toutes les mesures raisonnables pour protéger vos employés et votre entreprise contre d’éventuelles cybermenaces.

Nous avons dressé la liste des dangers les plus courants :

• Employés

  La solidité d’une chaîne se mesure à l’aune de son maillon le plus faible. Si vos employés ne constituent pas votre première ligne de défense, cela suffit à menacer l’intégrité de toute votre infrastructure. Demandez-vous si vos employés sont formés à la cybersécurité. Seraient-ils capables d’identifier les activités suspectes et de suivre des protocoles de sécurité définis ?

• Hameçonnage/ Phishing

  Les attaques de phishing sont à l’origine de la plupart des violations de données. De nombreuses tentatives de phishing permettent même de contourner les mesures de sécurité par défaut — d’où l’importance pour vos employés d’être formés pour savoir repérer ce type d’activité.

• Menaces internes

  Personne ne veut imaginer qu’un collaborateur interne puisse nuire à son entreprise, par pure malveillance ou accident. Malheureusement, cela arrive, et c’est un problème assez courant.

• Attaques par déni de service distribué

  Une faille DDoS attaque en substance une cible (généralement un serveur web), le surcharge et l’empêche de fonctionner normalement. C’est notamment le cas des sites marchands.

• Mots de passe vulnérables

  En 2018, 81 % des violations de données étaient dues à des mots de passe faibles. L’acquisition de mots de passe faibles ou l’achat illégal de mots de passe constituent les techniques les plus fréquemment employées par les hackers pour accéder à un réseau.

• Malwares

  Les logiciels malveillants ou malwares peuvent se présenter sous différentes formes : chevaux de Troie, logiciels espions (spywares) et vers, sans oublier les rançongiciels (ransomware) dont la dangerosité est plus en plus inquiétante.

• Vols et catastrophes

  Bien qu’aucun de ces événements ne soit probable, les conséquences financières d’un manque de préparation pourraient être lourdes pour votre entreprise.

• Équipements tiers

  En autorisant vos employés à connecter leurs équipements personnels à votre WiFi ou à utiliser des clés USB, vous risquez d’affaiblir involontairement vos protocoles de sécurité.

3. Vos mesures de sécurité actuelles fonctionnent-elles ?

Une fois que vous aurez identifié les menaces auxquelles vous pourriez vous heurter, vous devrez faire le point pour évaluer si vos mesures de sécurité actuelles sont à la hauteur et permettent d’assurer la défense de votre cyberinfrastructure.

À ce stade, vous évaluerez toutes vos mesures de sécurité afin d’identifier les faiblesses : certains processus de sécurité sont-ils obsolètes et faut-il les améliorer ? L’organisation souffre-t-elle d’un manque de connaissances ou se montre-t-elle négligente sur le sujet de la cybersécurité ? Voilà un domaine où il serait utile de faire appel à un auditeur externe puisqu’aucun parti pris ne viendrait interférer avec ses conclusions.

Votre audit de sécurité doit s’abstraire de vos éventuelles prédispositions à l’égard d’employés qui occupent certaines fonctions ou même de vos performances. Si une personne présente plus d’aptitudes à l’exercice d’une fonction de cybersécurité, elle doit être affectée à ce rôle pour assurer une protection permanente.

4. Comment hiérarchiser les risques ?

Dans votre audit, la hiérarchisation des risques est sans doute l’étape la plus importante de toute la procédure.

Prenez tout d’abord la liste des menaces potentielles que nous avons évoquées plus haut, puis comparez les dommages potentiels avec la probabilité que ces menaces se concrétisent. Assignez ensuite un score de risque à chacune.

Prenons un incendie susceptible de détruire vos équipements et vos locaux. Un tel incendie empêcherait l’entreprise de poursuivre ses activités pendant une durée indéterminée. On peut qualifier le risque « d’élevé ». Mais, comme un incendie est moins probable qu’une attaque par un malware, on peut baisser ce score.

Lorsque l’on hiérarchise les risques pour les évaluer, il est important de prendre en compte les points suivants :

• Tendances récentes

  Quelles méthodes utilisent actuellement les hackers pour accéder aux données ? Quelles sont les menaces dont le niveau de dangerosité est en hausse ? Y a-t-il des innovations qui permettraient d’offrir plus de protection ?

• Tendances liées à votre secteur d’activité

  Si votre entreprise exerce dans le secteur médical ou financier, vous avez plus de risques d’être victime d’une tentative de violation de votre sécurité. Quelles sont les tendances qui prévalent dans votre secteur et comment vous en prémunir de manière plus proactive ?

• Violations historiques

  Votre organisation a-t-elle déjà été piratée ? Y a-t-il déjà eu atteinte à sa sécurité physique par le passé ? Avez-vous mis en place des mesures pour éviter que cela ne se reproduise ?

• Législation et conformité

  Êtes-vous une entreprise privée ou une organisation publique ? Traitez-vous chaque jour des données sensibles ? Qui a accès à ces données ?

Il est essentiel de répondre honnêtement à ces questions, car cela influe sur le score de menace que vous attribuez à chaque actif.

Par exemple, si vous êtes une entreprise privée et que vous traitez des informations financières accessibles par un grand nombre d’employés, le facteur de risque sera déjà élevé. Mais, si votre infrastructure de sécurité a déjà fait l’objet d’une attaque par le passé, le score de menace que vous attribuerez sera encore plus élevé.

5. Comment exploiter les résultats de l’audit ?

Dans la dernière partie de l’audit, vous devez reprendre votre liste de menaces hiérarchisées et décider comment procéder pour la mise en place de mesures de sécurité visant à neutraliser ou à éradiquer le risque de menace.

La liste sera différente suivant votre entreprise, votre secteur d’activité et le niveau de sécurité exigé. Nous vous proposons ci-après quelques-unes des solutions et mesures de sécurité les plus courantes :

1. Ateliers de formation

   Même de modestes actions de sensibilisation et de formation à la sécurité peuvent largement contribuer à réduire l’impact d’une cyberattaque. Vos employés sont des êtres humains. Ils commettront donc des erreurs. Cependant, la mise en place d’ateliers de formation et l’organisation régulière de sessions de réactivation des connaissances permettront de sensibiliser davantage vos collaborateurs à la cybersécurité et de minimiser les erreurs.

2. Sauvegardes

   Avec le rôle croissant des technologies sur le lieu de travail, de nombreuses entreprises sont aujourd’hui entièrement dématérialisées — la charge est donc reportée sur le stockage et les sauvegardes en ligne. On estime que près de la moitié des petites et moyennes entreprises n’ont pas de plan de sauvegarde et de restauration des données, et que 60 % de ces entreprises mettent la clé sous la porte dans les six mois après avoir perdu leurs données. Si vous effectuez régulièrement des sauvegardes de vos données en dehors de votre réseau principal, vous aurez toujours quelque chose sur quoi vous rabattre en cas de crise.

3. Protection des e-mails

   Comme nous l’avons déjà mentionné, les attaques de phishing sont en augmentation, en partie du fait de leur sophistication croissante et des difficultés pour les repérer. Il suffit d’un clic sur un e-mail de phishing pour que votre cyberagresseur ait accès à vos données. Certes les filtres antispam sont là pour aider à éliminer ce type d’e-mails, mais rien ne vaut des employés formés à les reconnaître.

4. Mises à jour des logiciels

   Nous avons tous vécu ce genre de situation : vous allumez votre ordinateur et vous découvrez que votre machine est en train d’installer et de mettre à jour vos logiciels. Aussi agaçant que cela puisse être, c’est également d’une importance capitale. Ces mises à jour logicielles contiennent souvent les derniers correctifs de sécurité essentiels pour protéger votre machine. Il est donc très important d’appliquer les mises à jour manuelles de votre plan de sécurité pour que toutes les machines de votre réseau soient à jour.

5. Gestionnaire de mots de passe

   L’être humain n’est pas fait pour se souvenir de centaines de mots de passe uniques et complexes. C’est pour cela que bien souvent, on utilise les variantes des mêmes mots de passe de manière inlassable. Un logiciel de gestion des mots de passe enregistre les mots de passe uniques et compliqués. Il permet à ses utilisateurs de se connecter facilement à un site ou une application. Cela élimine le risque lié au partage de fichiers de mots de passe et les rend beaucoup plus difficiles à deviner.

6. Surveillance des réseaux

   Les cybercriminels n’auront pas besoin de se faire prier une deuxième fois pour accéder à votre réseau. Pour lutter contre ce phénomène, il peut être utile de rechercher quels sont les meilleurs logiciels de surveillance réseau capables de vous alerter de toute activité suspecte, comme les tentatives d’accès à partir de sources douteuses.

Les points à retenir

Dans ce billet, nous vous avons présenté les outils et les connaissances nécessaires pour réaliser un audit de cybersécurité. Nous vous rappelons cependant que ces contrôles internes doivent être menés régulièrement, et non de façon isolée et discontinue.

Votre premier audit vous permettra d’établir le point de référence de tous vos futurs contrôles, pour mesurer par la suite ce qui a fonctionné et ce qui doit être amélioré.

En actualisant continuellement vos processus et en investissant dans les dernières technologies, vous instaurez une culture axée sur l’impact de la cybersécurité et qui met en évidence les dangers liés à l’absence de mesures de sécurité appropriées.