Un audit de sécurité a pour objectif d´évaluer les risques encourus par le système d´information et de préconiser des parades.
Dit comme cela, l´affaire paraît simple. Mais toutes les ESN ne fournissent pas sous ce vocable le même service. Certaines dépêchent un technicien pour installer et configurer un simple pare-feu, tandis que d´autres revendent des tests de vulnérabilités automatisés depuis Internet.
D´autres encore se targuent d´ausculter le code source des applications maison, à la recherche de vulnérabilités oubliées par l´équipe de développement. Et toutes appellent cela un audit. Mais qu´est-ce que le véritable audit de sécurité ?
L´audit est avant tout une prestation interne, par opposition au test, qui se contente de mesurer la perméabilité en périphérie du réseau. Exit donc les tests de vulnérabilités automatisés, et même les tests d´intrusion. L´audit est ainsi l´affaire d´équipes dépêchées sur site afin de pratiquer des mesures. Même lorsqu´il est dit "technique", l´audit demeure interne : il est réalisé sur la base du code source, et non simplement d´une tentative de compromettre l'application depuis l´extérieur durant son fonctionnement. Autre critère essentiel : l´audit met en lumière des faiblesses et propose obligatoirement des solutions pour chacune d´elles.
L'audit organisationnel : une vue d'ensemble essentielle
La portée de l´audit définit ensuite son type : il sera organisationnel ou technique.
Le premier couvre l´ensemble du système d´information de l´entreprise, de son personnel à ses procédures. Le second étudie en détail une architecture particulière (passerelle, interconnexion, application...). Il est plus courant de commencer par un audit organisationnel, qui
est une mesure globale du système d´information et de ses points faibles. "Commencer par un audit technique, c´est prendre les choses
par le mauvais bout. C´est un peu comme écrire une application sans avoir fait un cahier des charges. Il faut prendre un peu de recul par rapport à la sécurité, et avoir déjà défini un référentiel.
La prestation organisationnelle permet ainsi de couvrir l´ensemble du système d´information et d´en identifier les dysfonctionnements
et les risques potentiels. "L´audit général (organisationnel, ndlr) permet de définir ce que l´on veut faire. Il dicte les règles, la politique de sécurité, les normes. Cela donne une "cible" de sécurité, qui peut ensuite servir de mètre étalon lors d´audits successifs.
Concrètement, un audit organisationnel dure entre 20 et 40 jours. Le prestataire dépêche un ou plusieurs consultants chez son client. Après une
première série de réunions, chargées de définir le périmètre de l´audit, de nommer des correspondants au sein de l´entreprise et de planifier ses
interventions, l´auditeur commence son travail. Il ne s´agit pas d´une analyse technique, mais plutôt d´un jeu de questions-réponses : qui s´occupe des sauvegardes ? Comment sont-elles planifiées ? Qui a accès à la salle des serveurs ? Combien de jeux de clés existe-t-il ? Qui les détient ? Qu´est-il prévu en cas de panne de courant ? Ces questions sont classées par thèmes :
(sécurité physique, contrôle d´accès, sabotage, pannes, erreurs humaines...).
L´auditeur ne les invente pas : elles proviennent d´une méthode d´audit reconnue, dite "formelle" (Marion, Mehari, Melisa, Ebios...).
En intégrant ensuite les réponses au moteur d´évaluation de la méthode (sa "logique"), l´auditeur obtient une mesure de la sécurité du système d'information de l´entreprise, et peut alors proposer des parades aux risques jugés les plus critiques, selon différents scénarii de crise.
Savoir là où ça fait mal
Mais ces méthodes sont lourdes, contiennent des milliers de questions dont toutes ne sont pas applicables dans le contexte de l´entreprise auditée et, surtout, qui demanderaient des mois de travail si elles devaient toutes être posées. La PME ne peut se les offrir et, d´ailleurs, la majorité des questions ne la concerne pas. C´est donc au prestataire de faire un tri, et de ne sélectionner qu´un sous-ensemble adapté
au métier de l´entreprise. C´est ici que se fait la différence entre deux auditeurs et c´est ici aussi que naissent des méthodes dites "propriétaires",
ou adaptées. En PME, la demande des chef d'entreprise, c´est du concret rapidement. L´objectif est d´obtenir en un laps de temps restreint une visibilité des risques et un plan d´action. C´est pour cela aussi qu´il faut savoir adapter la méthode... sinon, on peut y passer 6 mois. Il faut donc identifier les priorités spécifiques à l´entreprise. C´est l´expérience de l'informaticien et son ouverture d'esprit qui fait alors la différence.
Sur le terrain, on ne peut de toute façon pas travailler idéalement avec une méthode : le résultat ne correspondra pas à l´attente du client si on se contente de la suivre à la lettre. Les PME sont très pragmatiques, elles veulent des réponses efficaces : savoir là où ça peut leur
faire mal. Elles se moquent de savoir si elles répondent à des standards, telle la norme ISO". L´audit de sécurité dit "organisationnel" s´adapte donc aujourd´hui aux PME, qui ont poussé à plus de pragmatisme : les méthodes formelles, lourdes, qui ont donné à l´audit sa réputation de prestations réservées aux grands comptes, ne servent plus que de base. En les adaptant et n´utilisant qu´un sous-ensemble de leurs questions les plus pertinentes, saupoudré de celles issues de leur connaissance du terrain, les SSI / ESN proposent un audit organisationnel plus pragmatique, mais toujours aussi essentiel. Car le référentiel de sécurité ainsi créé est un document vital : il s'agit du mètre étalon garant du niveau de sécurité de l´entreprise dans le temps.
Sylvain Bonnet Passemar
--------------------------------------------------------------------
Adresse du blog : https://blogs.mediapart.fr/sp-0/blog
Passionné d'informatique, de nouvelle technologie, et de société de l'information, j'édite ce blog qui traite de sujet de sécurité informatique. Le but de ce blog est de s’adresser auprès d’un public varié : direction, utilisateur, informaticien. C’est pour cela qu’il est hébergé sur un site généraliste. La sécurité, c’est une en premier lieu une organisation, et non un rôle purement technique. J'ai commencé ma carrière dans la presse informatique dans les années 90, puis un long passage très intéressant comme informaticien en salle des marchés et banque d'investissement, puis une administration internationale.