• Print
  • Decrease text size
  • Reset text size
  • Larger text size
11/14/2018

Comment l’audit de sécurité est un incontournable pour les DSI ?

Avec la prolifération des terminaux mobiles (smartphones, tablettes, objets connectés) et l’expérimentation de nouveaux modes de travail (télétravail, co-working), les données de l’entreprise sont désormais accessibles, partout et tout le temps. Du fait de la transformation numérique déjà bien amorcée, celle-ci entraîne une hyper-connectivité des entreprises avec l’ensemble des acteurs (clients, fournisseurs et tiers) et diffuse l’information dans des cercles de plus en plus ouverts et élargis.

Dans cet environnement, les failles de sécurité se multiplient et la difficulté à cartographier et identifier les risques est de plus en plus grande. L’envergure des réseaux informatiques ainsi constitués donne aux attaques une portée qu’il devient difficile d’ignorer.

Seule certitude, les entreprises qui ne dédieront pas assez de ressources humaines et financières à la sécurité de leur SI risquent de ne pas pouvoir faire face aux attaques auxquelles elles sont sujettes tous les jours et ainsi être accusées de négligence.

Dans ce contexte, comment l’audit de sécurité est l’étape essentielle pour qualifier la sécurité de son SI et mettre en place des mesures préventives efficaces ?

(1) Un contexte anxiogène de menaces permanentes

Avec un nombre d’incidents de sécurité SI croissant et une sophistication de ces incidents de plus en plus importante, les entreprises sont contraintes de gérer les risques liés à la sécurité tout en permettant la transformation numérique de leur organisation afin de continuellement répondre aux besoins métier.

S’il est impossible de prévoir précisément les typologies d’attaques, reste que les traditionnels malwares (logiciel malveillant), les ransonware (rançonlogiciels) mais aussi les vols de puissance de machines (pour servir les attaques distribuées), le phishing (convaincre par filouterie de transmettre des données confidentielles ou de faire un virement) ainsi que les « simples » virus font plus que jamais partie du quotidien.

En 2018, le coût engendré par une cyberattaque pour une entreprise a été évalué en moyenne à 3,86 millions de dollars d’après l’étude du Ponemon Institute[1] (+6,4% par rapport à 2017).

(2) L’audit de sécurité

Une photo de la sécurité de son SI

Aucune entreprise ne peut prédire ou empêcher une attaque informatique. En revanche, celle-ci peut renforcer sa résilience face aux menaces et limiter les dommages causés par une attaque. Elle doit rester constamment en alerte et se tenir prête. Les dégâts causés par les cyberattaques, notamment en matière d’image, sont avérés. La question n’est plus tant de savoir si les organisations seront attaquées un jour, mais comment y faire face.

Si les entreprises accordent désormais une place importante à la cybersécurité au sein de leurs organisations, elles reconnaissent toutefois ne pas être suffisamment armées pour détecter et répondre aux cyberattaques et s’inquiètent de l’étendue et de la complexité des menaces. Elles doivent donc mettre en place des mesures permettant d’améliorer et de réévaluer en continu leur programme de cybersécurité. L’audit de sécurité est une de ces mesures.

En ce qui concerne le domaine de la sécurité des systèmes d’information, l’audit de vulnérabilités permet de mettre en évidence les faiblesses et les vulnérabilités organisationnelles et/ou techniques du système d’information et de déterminer des axes d’amélioration visant à augmenter son niveau de sécurité. En effet, l’audit de sécurité par des tests de pénétration illustrera le niveau de sécurité global de son SI, mais aussi mettra à plat la politique d’accès aux données de l’entreprise et aux différentes configurations de l’infrastructure.

La mise en place des recommandations afin de traiter les vulnérabilités soulevées garantira la disponibilité du système d’information, l’intégrité de ses données, la confidentialité des accès et la traçabilité des flux échangés. Néanmoins, cette garantie est fortement liée au périmètre des tests et à la méthodologie utilisée. Dans le cadre de nos missions chez nos clients, nous mettons en place une organisation et méthodologie afin d’encadrer des audits de sécurité à forte valeur ajoutée pour l’entreprise. Un rapport détaillé mettra en évidence les écarts et les non-conformités trouvées. Un plan d’action contenant les mesures à mettre en œuvre par priorité sera établi, partagé et validé avec l’entreprise auditée.

 

(3) Quels constats observons-nous ?

Nous observons chez nos clients que les entreprises doivent réussir à maîtriser les exigences élémentaires impliquant la cybersécurité, quel que soit leur niveau de maturité sur le sujet. Devant faire face à un cycle permanent de nouveaux défis et de nouvelles menaces, l’audit de sécurité est une des mesures permettant d’améliorer et de réévaluer en continu leur programme de cybersécurité.

Un prérequis lié au durcissement des normes et réglementations

En réponse à ce contexte anxiogène, les normes et réglementations progressent. Outre le texte européen de référence en matière de protection des données personnelles (RGPD) entré en vigueur en mai 2018, au sein des différents chantiers et projets engendrés par la Loi de Programmation Militaire (LPM), celui de la sécurisation des systèmes d’information sensibles pour les opérateurs d’importance vitale (OIV) permet de concrétiser le renforcement effectif de la sécurité des SI. La France est le premier pays à être passé par la réglementation pour mettre en place un dispositif efficace et obligatoire de cybersécurité de ses infrastructures critiques. Par ailleurs, la Norme de sécurité de l’industrie des cartes de paiement (PCI DSS) a été développée dans le but d’encourager et de renforcer la sécurité des données du titulaire ainsi que pour faciliter l’adoption de mesures de sécurité uniformes à l’échelle mondiale. Ce cadre de nouvelles normes et réglementations amène des besoins d’audits de sécurité assez importants pour qualifier ce renforcement demandé pour la sécurité du système d’information des entreprises.

Par exemple, la mise en œuvre d’audits de sécurité fait partie du processus de mise en conformité RGPD pour un objectif majeur : l’amélioration de la sécurité informatique de l’entreprise en garantissant la confidentialité et l’intégrité des données personnelles. Suite aux résultats de l’audit, la mise en application des recommandations et des solutions de sécurité basées sur l’état de l’art aboutiront à une sécurisation des données, étape de mise en conformité au RGPD pour l’entreprise.

En conséquence de la mise en place de la réglementation, Sia Partners réalise régulièrement des missions pour ses clients de mise en conformité RGPD, de la phase du diagnostic du niveau de maturité du dispositif à la définition d’une feuille de route avec les mesures de sécurité SI adéquates.

Les nouveaux enjeux de sécurité liés aux applications SaaS

L’avènement du Cloud et des applications SaaS ont apporté de nouveaux enjeux de sécurité liés aux audits de sécurité. En effet, le client de l’application SaaS a la possibilité de contrôler à tout moment le respect des exigences de sécurité par un audit de sécurité à un tiers de son choix.

Les modalités de la prestation d’audit doivent être indiquées dans le contrat liant le client et le fournisseur. Le nombre grandissant d’entreprises faisant le choix de déléguer l’hébergement et l’exploitation de leur application/infrastructure à une société externe a un impact proportionnel sur le nombre d’audits de sécurité SaaS. Dans le cadre de nos missions, nous constatons que ces audits SaaS ont leurs spécificités outre l’engagement légal par la signature d’un accord tripartite entre le client, le fournisseur et la société effectuant l’audit.

La première difficulté pour l’entreprise client sera de ne pas pouvoir auditer toute l’infrastructure de l’application. En effet, le fournisseur sera réticent à ce qu’un tiers réalise des tests sur son SI pour cause du respect de la confidentialité de leur solution (fonds de commerce pour le prestataire) mais également du fait que certaines briques applicatives soient mutualisées avec d’autres applications pour d’autres clients.

En conséquence de cette externalisation vers des prestataires SaaS, les entreprises ont le réflexe de se tourner vers des géants du secteur qui ont déjà fait leurs preuves comme Google, Dropbox, Salesforce ou Microsoft. De ce fait, beaucoup d’entreprises françaises stockent ainsi des données stratégiques sans aucune crainte sur des serveurs américains alors qu’elles prennent nombreuses précautions en interne pour assurer la confidentialité de leurs documents. Dans ce contexte, la loi Patriot Act adoptée le 26 octobre 2001 par les Etats-Unis crée l’obligation pour les sociétés américaines et leurs filiales ainsi que pour les sociétés non américaines ayant des serveurs localisés aux Etats-Unis de laisser accéder les services de sécurité américains aux données stockées dans leurs serveurs, y compris celles qui sont stockées en Europe par des sociétés américaines.

En raison d'une certaine incertitude quant à la façon et au lieu où le fournisseur de SaaS stockera les données, il existe un risque qu'il fasse transgresser à ses clients des réglementations nationales ou européennes, lesquelles imposent des contrôles stricts sur le traitement des données en dehors de l'Union européenne. Les entreprises utilisant des applications SaaS et voulant éviter d'être prises à défaut par rapport aux lois sur la protection des données devront apporter la preuve qu'elles ont évalué la sécurité du fournisseur par un audit de sécurité et stipulé des mesures pour protéger les données à caractère personnel qui sont traitées par le fournisseur. Raison de plus pour réaliser régulièrement des audits de la sécurité même pour une application hébergée ailleurs.

Intégrer la sécurité SI le plus en amont possible des projets

Du fait de l’avancée technologique incessante des attaques, nous constatons que toutes les applications/infrastructures ayant déjà subi un audit de sécurité quelques années auparavant sont encore vulnérables. L’intégration de la sécurité dès le début du développement de l’application (Security by design) sera une des clés à maîtriser. En effet, en matière de management de la sécurité des systèmes d’information, nous conseillons la prise en compte très en amont et tout au long du cycle projet des besoins de sécurité.

En effet, d’une manière générale et quelle que soit la méthodologie de développement, nous avons pu constater lors des audits de sécurité SI que les critères liés à la sécurité et à la performance sont souvent négligés par les équipes de développeurs. Une solution serait la prise en compte de la sécurité grâce à la gestion de projet en mode Agile. L’architecture et le design du projet sont notamment les points critiques qui dictent le niveau de sécurité du projet. L’analyse de risques lors de la définition des besoins métiers, l’exécution d’audit de code durant les phases de sprint, la réalisation de tests de pénétration avant le démarrage du projet puis de tests automatiques de vulnérabilités en continu après sa mise en production sont autant d’étapes pour intégrer la sécurité en mode Agile tout au long du cycle de vie des projets.

Outre le fait de l’intégration de la sécurité en amont et d’investissement sur des nouveaux composants de sécurité/contrôles, le besoin de compétences en sécurité et de choix d’organisation sur la gestion de la cybersécurité (comme la mise en place d’un SOC) sont également des paramètres indispensables à prendre en compte pour les entreprises. Concernant les sociétés prestataires réalisant les tests de pénétration, nous constatons un réel besoin de structuration autour d’un accord-cadre entre plusieurs sociétés auditrices afin d’assurer pour l’entreprise auditée une qualité de service régulière associée à cette mise en concurrence. Enfin, à la suite de l’audit de sécurité, une comitologie devra être mise en place afin d’effectuer un réel suivi de l’intégration des recommandations validées par l’entreprise selon ses contraintes de temps, budget, impacts SI.

Article rédigé par Teddy Ramasso.

 


[1] Ponemon Institute – 2018 Cost of a Data Breach Study : Global Overview

0 comment
Post a comment

Plain text

  • No HTML tags allowed.
  • Web page addresses and e-mail addresses turn into links automatically.
  • Lines and paragraphs break automatically.
Image CAPTCHA
Enter the characters shown in the image.
Back to Top