Dans un contexte de forte recrudescence de cybercriminalité, et de recours accru au télétravail en raison de la crise sanitaire, la question de la cybersécurité se pose à toutes les entreprises. Pour répondre à ces interrogations, l’audit de sécurité constitue une intervention appréciée. Interview de notre consultant audit et conseil IT ORCOM.
[ORCOM] Un audit de sécurité, c’est quoi ?
[Consultant IT] C’est avant tout un audit, c’est-à-dire l’analyse de la conformité d’un système à un référentiel et donc l’étude des écarts à ce référentiel. En ceci, l’audit de sécurité dénote des autres types d’audit, car il est parfois réalisé sans référentiel, en se basant plutôt sur l’état des connaissances actuelles en matière de techniques d’attaque (on parle « d’état de l’art »). Pour simplifier, c’est l’intervention d’experts, souvent externes à l’entreprise, pour dresser un état des lieux de sécurité et en particulier identifier les faiblesses (on parle de « vulnérabilités ») pouvant être exploitées par un/des individu(s) malveillant(s) pour mener une cyberattaque avec succès.
[ORCOM] C’est un test d’intrusion, en somme ?
[Consultant IT] Oui et non. Le test d’intrusion (aussi appelé « pentest », contraction anglaise de « penetration testing ») est une façon de mener un audit de sécurité : les experts soumettent la cible de l’audit à des attaques réalistes pour évaluer sa robustesse. C’est donc, par nature une intervention très pragmatique : on identifie les vulnérabilités en attaquant. Néanmoins, ce n’est pas la seule manière de mener un audit de sécurité. On peut également étudier la conception d’un système d’information, son architecture, la configuration de ses composants critiques (pares-feux, serveurs, etc.), analyser le code source d’une application, etc.
[ORCOM] Et à quoi cela sert-il ?
[Consultant IT] L’objectif de l’audit de sécurité c’est de réaliser un état des lieux, et donc d’objectiver l’état de sécurité d’une cible (application, site web, système d’information, etc.). L’intérêt est donc de disposer d’une évaluation fidèle de son niveau de sécurité et des vulnérabilités dont elle souffre afin d’en organiser le suivi. Au-delà de cette fonction principale, l’audit de sécurité a surtout des vertus cachées : l’intervention d’experts en cybersécurité qui effectuent un travail de recherche et de cartographie d’un système permet souvent de rappeler à notre bon souvenir des composants tombés dans l’oubli : un serveur, une application ou un compte d’accès qu’on avait omis de désactiver.
[ORCOM] Comment se passe concrètement cette mission ?
[Consultant IT] Le déroulé d’un audit de sécurité dépend fortement de sa nature. Un test d’intrusion ou un audit de code source, par exemple, sont menés en relative autonomie par les experts : c’est un travail technique sur la cible, pour lequel peu d’interactions sont nécessaires avec le client. Un simple point de contact mobilisable en cas de blocage est suffisant. En revanche, la portée d’un audit d’architecture ou organisationnel dépassent les problématiques purement techniques et des entretiens doivent être organisés avec le personnel clé de l’entreprise auditée ; il faut donc prévoir de la disponibilité pour mener à bien cette intervention.
Point de vue de l’expert – Yves Duchesne (ACCEIS, société partenaire)
« L’audit de sécurité est souvent l’intervention « d’appel » à la cybersécurité : dans bien des cas, il constitue la première pierre posée à l’édifice de la cybersécurité. Lorsqu’une entreprise souhaite mieux gérer ses risques et organiser sa sécurité, il est naturel pour elle de débuter par un état des lieux. Ses conclusions viendront alimenter des « chantiers » de correction, mais peuvent également jeter les bases d’une stratégie plus globale, visant à protéger l’entreprise et ses données des cyberattaques. L’audit de sécurité a donc des vertus intrinsèques et une valeur ajoutée directe pour l’entreprise. Du reste, il peut aussi constituer un déclencheur permettant à nos clients d’organiser leur résilience et leur sécurité. »