Comment concevoir votre politique de sécurité si vous n’avez pas une vision claire de votre sécurité actuelle ? Failles de sécurité, données de vos collaborateurs, de votre structure, de votre système d’information (SI)… l’audit de sécurité est la première démarche à effectuer !
Audit de sécurité, pourquoi le réaliser ?
L’audit de sécurité : définition ?
Un audit de sécurité informatique est une démarche qui permet de connaître le niveau de sécurité global de son système d’information, mais aussi de mettre à plat la politique d’accès aux données de l’entreprise et aux différentes configurations réseau.
L’audit de sécurité informatique garantit la disponibilité du système d’information, l’intégrité de ses données, la confidentialité des accès et fournit des preuves qui permettent de savoir qui accède, à quel moment, à telle ou telle donnée ou application.
Pourquoi mettre en place un audit de sécurité informatique ?
Le développement d’Internet, la multiplication des réseaux, du matériel et l’interconnexion des appareils sont tout autant de facteurs qui multiplient les risques informatiques au sein des entreprises.
Qu’il s’agisse de risques internes (manque de sensibilisation des collaborateurs, erreurs et incidents, accès aux données critiques, malveillance, anciens collaborateurs…) ou de risques externes (virus, intrusions, phishing, espionnage…), la sécurité du système d’information est désormais un enjeu de taille dans la gouvernance de toute structure.
L’audit de sécurité est utilisé pour :
- S’assurer de l’intégrité des données et du capital informationnel de l’entreprise.
- Découvrir et comprendre les éventuelles vulnérabilités du système d’information
- Mettre en place des politiques de protection et de sécurité adaptée au fonctionnement de l’entreprise et à son système d’information.
Quand doit-on réaliser un audit de sécurité informatique ?
Un audit vise à prévenir les intrusions et les failles de votre système informatique, il permet aussi d’identifier les risques pour mieux les corriger et se protéger des menaces, et cela, avant même qu’elles ne se produisent.
Il est donc essentiel de réaliser des audits de façon régulière de son système, par exemple une fois par an, afin de disposer en continu de recommandations à jour et adaptées à l’évolution du système d’information de l’entreprise, des technologiques, des usages et des menaces.
Audit de sécurité, quelles sont les phases de réalisation ?
Première phase : initialisation de l’audit
L’initialisation de l’audit permet de définir le périmètre de l’audit, les limites et les modalités.
Seconde phase : réalisation de l’audit
La réalisation de l’audit, comme son nom l’indique, permet d’analyser et d’effectuer les travaux techniques et/ou organisationnels.
Troisième phase : restitution
La troisième phase est la rédaction du rapport d’audit contenant la synthèse des résultats obtenus, les différents points observés, les contre-mesures, les préconisations et, bien sûr, le plan d’action pour remédier aux vulnérabilités découvertes.
Que peut-on auditer ?
Dans un audit de sécurité informatique, sont étudiés, entre autre, les éléments suivants :
- le matériel : postes fixes, ordinateurs portables, tablettes, téléphones mobiles
- les systèmes d’exploitation : leurs versions, leurs mises à jour
- les logiciels et applications (logiciels de gestion, logiciels métiers, messagerie…)
- l’infrastructure réseaux et télécom
- les risques associés à une éventuelle perte d’intégrité des données,
- les droits et accès des collaborateurs
- les besoins en matière de sauvegardes (hébergées, redondantes…)
- les outils de sécurité informatique (antivirus, pare-feux, antispam)
- la politique de sécurité informatique de l’entreprise
- les dispositifs de sécurité externes
- etc.
Si besoin, des tests d’intrusions peuvent être réalisés pour compléter l’audit de sécurité.
Le bon fonctionnement de l’entreprise pendant l’audit de sécurité
Même si les tests techniques sont non destructifs, n’impliquant aucune interruption de service, aucune modification ou suppression de données, ils peuvent néanmoins perturber le fonctionnement nominal des systèmes, infrastructures et applications ciblés.
Quelles sont les perturbations que l’on peut rencontrer ?
Durant un audit, il peut y avoir une surconsommation de bande passante, des équipements sollicités subissant des difficultés comportementales, la disponibilité applicative engendrant des crashs et instabilités sont à considérer sur la période donnée de l’audit.
Audit HEXAWIN, un audit professionnel
Il est important de noter que les audits de sécurité d’HEXAWIN sont réalisés par du personnel compétent et qualifié, et que chaque outil est qualifié en interne avant d’être utilisé sur un SI de production.
Avant tout audit de sécurité, nous, HEXAWIN, vous conseillons de prévoir des sauvegardes de données (annuaires, bases de données, etc.). Nous préconisons des environnements dédiés aux audits, alignés sur la production, nous nous assurons pour que l’ensemble des tests effectués n’aient aucun impact sur le business de votre entreprise.
