Audit de securite informatique

Les bonnes pratiques d’un audit de sécurité informatique

Lorsque quelqu’un parle d’audit, vous pensez probablement aux inspections surprises que les auditeurs de votre entreprise sollicitent pour tenter de mettre en évidence les faiblesses informatiques de vos systèmes. Toutefois, l’audit est une procédure de contrôle efficace face à l’évolution des menaces de cyberattaques. Ces dernières obligent les entreprises à se tenir au courant des nouvelles pratiques en matière d’évaluation de la sécurité des informations. En tant que responsable de la sécurité de l’information de votre entreprise, c’est à vous de suivre les bonnes pratiques d’audit afin de protéger votre entreprise au mieux.

 

 

Définir un cahier des charges d’audit de sécurité

Détaillez clairement ce que vous recherchez avant de commencer à interroger des cabinets d’audit. S’il y a une faille de sécurité dans un système qui n’entre pas dans le cadre de l’audit, cela peut vouloir dire que vous avez mal défini vos objectifs.

Etablissez une liste précise de vos objectifs. Souhaitez-vous que l’auditeur examine et documente les mécanismes de sécurité configurés sur le pare-feu, consulte la configuration du pare-feu pour évaluer les expositions possibles à des connexions réseau non autorisées. Pensez-vous qu’il doive également passer en revue la configuration du système d’exploitation pour la renforcer contre les risques de sécurité. Définir ces objectifs prend du temps mais cette étape est essentielle pour la suite.

 

Avoir recours un auditeur en sécurité informatique 

 

Vous pourriez être tenté de confier cet audit à votre équipe interne. Toutefois, s’assurer que les systèmes d’exploitation et les applications soient configurés de manière sécurisée, et surveiller vos systèmes de protection représente plus qu’un travail à temps plein.

Les audits techniques mettent en évidence les risques pour votre système informatique en examinant non seulement les stratégies et procédures, mais également les configurations de réseau et système. Ce travail est davantage adapté pour une équipe de sécurité informatique spécialisée dans ce domaine. Lisez les références de l’équipe d’audit et méfiez-vous des certifications qui ne garantissent pas forcément la compétence technique. Assurez-vous que l’auditeur possède une expérience professionnelle dans le domaine de la sécurité, acquise par des années de mise en œuvre.

 

S’assurer que l’audit informatique soit effectué régulièrement

 

Vos politiques de sécurité sont votre base de travail. Sans politique et normes établies, il n’existe pas de directives pour déterminer le niveau de risque. Cependant, la technologie évolue beaucoup plus rapidement que les politiques et doit être revue régulièrement. Des vulnérabilités logicielles sont découvertes chaque jour. Une évaluation de sécurité annuelle par un cabinet d’audit est essentielle pour garantir le respect des consignes de sécurité.

Les audits de sécurité informatique permettent d’éviter à votre entreprise une attaque informatique qui pourrait lui nuire grandement. Les audits annuels établissent une base de sécurité par rapport à laquelle vous pouvez mesurer les progrès et évaluer les conseils professionnels de l’auditeur. Même si vous utilisez différents auditeurs chaque année, le niveau de risque découvert doit être constant et même diminuer d’année en année.

 

Demander le cahier des charges de l’auditeur

 

Certains auditeurs peuvent être réticents à entrer dans le détail de leur méthode avant d’établir un contrat. Ils peuvent simplement vous montrer une brochure de vente ou vous référer à leur site. Toutefois, ne vous laissez pas impressionner. Bien qu’il soit bon de savoir qu’ils ont 30 ans d’expérience en matière de sécurité, cela ne vous en dit pas beaucoup sur la façon dont ils envisagent de procéder à la vérification.

Demandez aux auditeurs de préciser comment ils pensent atteindre vos objectifs. Quelles sont les méthodologies pour analyser les systèmes et quels seront les livrables suite à cette mission. Le cahier des charges devrait inclure les méthodes de l’auditeur pour examiner le réseau. Bien que les auditeurs puissent protéger la source de tous les outils propriétaires qu’ils utilisent, ils devraient pouvoir discuter de l’impact d’un outil et de la manière dont ils envisagent de l’utiliser. La plupart des bons auditeurs discuteront librement de leurs méthodes.

 

Evaluer le budget pour l’audit

 

Un point essentiel est de savoir combien l’audit va coûter à votre entreprise et ce que vous allez obtenir en retour. Certains cabinets d’audit proposent un tarif forfaitaire en échange d’un rapport détaillant leurs conclusions et leurs recommandations. D’autres peuvent estimer le nombre de jours qu’un audit prendra, les deux parties acceptant un coût flexible, dans certaines limites.

Pour un audit complexe de toute une entreprise, de nombreux problèmes imprévus peuvent survenir et nécessiter un temps considérable de la part des auditeurs, ce qui rendrait un taux forfaitaire plus attrayant pour votre entreprise.

 

Se préparer à être audité

 

Les auditeurs doivent émettre certaines hypothèses lors de la soumission d’un projet, tels que l’accès à certaines données ou des réunions avec certains membres de l’équipe informatique. Mais une fois que l’auditeur est à bord, tout doit être décrit par écrit, tel que la réception de copies de stratégies ou de données de configuration du système. Ces hypothèses doivent être approuvées par les deux parties et inclure les informations des départements dont les systèmes seront audités.

Impliquez au plus tôt les responsables commerciaux et informatiques des systèmes audités. Cela facilitera le processus et mettra en évidence certains problèmes qu’il est possible d’éviter. Renseignez-vous sur la politique de sécurité de l’entreprise concernant l’envoi de fichiers de configuration de mots de passe et du pare-feu par exemple.

 

Un état des lieux de la sécurité informatique

 

Vos responsables doivent spécifier des restrictions, telles que l’heure, le jour et les méthodes de test afin de limiter l’impact sur les systèmes de production. Il est également possible de limiter le champ de l’audit. Assurez-vous que les auditeurs se conforment à votre politique concernant vos informations confidentielles. Si votre entreprise interdit aux employés de communiquer des informations sensibles via un courrier électronique, les auditeurs doivent respecter cette règle. Le rapport d’audit de sécurité informatique lui-même contient des données sensibles et doit être remis de main en main ou sous forme cryptée s’il est envoyé par courrier électronique.

Fournissez aux auditeurs une déclaration les autorisant à interroger le réseau. Dans le cadre de ce “travail préparatoire”, les auditeurs peuvent raisonnablement s’attendre à ce que vous leur fournissiez les données de base et la documentation dont ils ont besoin pour naviguer et analyser vos systèmes. Préparez les copies de toutes les politiques et procédures informatiques, une liste des systèmes d’exploitation, la topologie de réseau (architecture), spécifiant les adresses IP cibles, les dispositifs de sécurité externes et la liste des logiciels d’application.

 

Notre équipe Axido accompagne les entreprises dans leur projet afin de les protéger contre les virus et les menaces informatiques. Le prestataire conduit les audits sécurisés informatiques afin d’assurer la sécurité de vos systèmes d’information et de proposer une méthodologie efficace de l’audit au plan d’actions afin d’assurer le bon fonctionnement de vos activités.

 

Articles similaires :
wifi entreprise
Conseils

Pourquoi installer un réseau wifi entreprise ?

La sauvegarde externalisée consiste à déléguer la protection de vos données d’entreprise à un prestataire de sauvegarde de données. Les entreprises considèrent aujourd’hui le stockage de données sur le Cloud comme essentiel à leur réussite.

Lire plus »

Blog


Découvrir les fonctionnalités