Audits sécurité et audits fonctionnels : un spécialiste prend la parole.

JF

Jérémy Finet vous êtes Directeur Général d’Absys et ancien Directeur Technique de la société. En parallèle de vos fonctions managériales, vous êtes partie prenante dans certains dossiers techniques.

A ce titre et dans un contexte grandissant d’actes de cyber malveillance, vous auditez régulièrement les systèmes informatiques de vos clients afin d’évaluer leurs faiblesses.

Pouvez-vous nous expliquer en quoi consistent ces audits ?

Nous aidons effectivement toutes les sociétés en proposant des audits de sécurité. Nous nous sommes inspirés de la norme AFNOR ISO 27002 (*) dont nous avons retenu des points essentiels parmi les 113 qu'elle comprend. Nous l'avons adaptée à des structures de type TPE, PME/PMI. Ce référentiel conçu pour de grandes structures (ETI, grands comptes) est large : il couvre la technique et le fonctionnel.

Sur un plan pratique, il existe plusieurs méthodes de tests d’intrusion ou pentests.

  • Le test le plus réaliste est le black box, appelé également pentest en mode « boite noire ». Il consiste à réussir à s'introduire dans un système (la boîte) sans avoir la moindre information, tel un hacker découvrant pour la première fois ce système.
  • La méthodologie White box (boîte blanche), se caractérise par un partage complet des informations avec l’auditeur. L’objectif est d’identifier le maximum, idéalement la totalité des failles existantes en passant au crible l’ensemble du périmètre destiné à être évalué.
  • Enfin, la méthode Grey box est souvent désignée comme le meilleur choix en matière de méthodologie de pentest. L’auditeur débute ses tests avec un certain nombre d’informations qui lui permettront de gagner du temps. L’auditeur pourra pousser les tests plus loin que s’il était en mode Black Box, tout en restant proche du scénario que pourrait suivre un hacker malveillant.

(*) La norme « ISO/IEC 27002 : Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le management de la sécurité de l’information », décrivant les bonnes pratiques pour la mise en œuvre d’un système de management de la sécurité de l’information.

Quelle est la nécessité de réaliser un audit sécurité ?

La technologie évolue très rapidement. Les hackers ont toujours un temps d’avance et ne cessent de trouver et d’exploiter de nouvelles failles. De plus nous constatons régulièrement des TROUS DANS LA RAQUETTE de nos clients :

  • mots de passe d’anciens salariés toujours actifs
  • téléchargement sans précaution d’un logiciel par un utilisateur final
  • recommandations non suivies …
  • la liste serait trop longue à écrire.

Par ailleurs, de nouveaux produits ou de nouvelles technologies plus efficients, viennent souvent supplanter les logiciels existants. Nous avons le cas avec les antivirus classiques qui étaient jusqu’alors la solution idéale de lutte contre les virus et qui sont supplantés par les EDRs. Absys est donc en en veille permanente sur ces sujets.

En résumé je retiendrais une analogie : au même titre qu’un expert-comptable qui expertise chaque année les comptes des sociétés, dans notre domaine une bonne pratique est de mettre en pause le réseau, avoir une vue générale et auditer l’informatique.

Les configurations, le fonctionnement, les exigences et les moyens de vos clients sont très variables. Ces audits suivent-ils un cadre formel strict ou une adaptation est-elle nécessaire en fonction de chaque situation ?

Chaque structure a des contraintes et des technologies différentes, nous ne pouvons donc pas proposer un audit type. C’est pourquoi nous avons fait le choix de faire du sur-mesure ; nous partons d’un référentiel que nous adaptons.

Il faut savoir aussi que les TPE/PME sont de plus en plus la cible de cyberattaques et notamment d’attaques en masse à l’initiative d’outils automatiques (plus de 95% des attaques). Ces entreprises ont rarement les moyens de grands groupes. Pour cette raison, nous proposons des Audits Grey Box plus rapides à réaliser et qui couvrent une majeure partie des attaques.

Une fois l’audit réalisé quelles en sont les conséquences et les livrables attendus ?

Chaque audit fait l’objet d’un rapport circonstancié. Pour chaque point analysé, il met en évidence un niveau d’alerte et/ou d’information :

  1. Point Critique, appelant une intervention corrective rapide.
  2. Point de vigilance, appelant une intervention mais sans caractère d’urgence absolue.
  3. Tout va bien.

La mise en œuvre de ces recommandations est ensuite à l’initiative de chaque client.

Votre conclusion ?

L’audit sécurité mesure les risques auxquels est exposé un système informatique ou système d’information. Il donne des recommandations techniques, fonctionnelles aux dirigeants et leur permet d’évaluer les menaces potentielles auxquelles leur société est exposée.

C’est aussi un outil d’organisation interne et de prospective indispensable pour le pilotage de l’entreprise.