L'audit de sécurité : une nécessité méconnue
L'audit de sécurité est une nécessité dès lors que l'entreprise exploite un système d'information interconnecté. Et cela, quelles que soient sa taille et son activité. Mais une fois ce principe acquis, le passage à l'acte n'est pas toujours évident : qu'est-ce qu'un audit de sécurité réellement ?
Un véritable audit de sécurité est un audit organisationnel. Il s'agit d'une démarche qui peut être lourde et mobiliser une équipe plusieurs semaines. Il ne faut toutefois pas négliger la qualité des interventions plus légères. Le critère important est de bien comprendre jusqu'où l'entreprise souhaite aller en matière de sécurité, et qu'elle soit consciente des aspects qui ont été délibérément mis sur le côté.
Les buts d'un audit de sécurité sont les suivants :
- mesurer les éléments critiques de l'entreprise : les processus métier, outils de production informatiques, etc. ;
- identifier les risques qui pèsent sur ces éléments ;
- confronter l'ensemble aux pratiques de sécurité existantes.
Le résultat est une matrice permettant alors d'attribuer les ressources sécurité de l'entreprise afin de couvrir les risques les plus pressants ou de protéger les valeurs les plus critiques. Nous réalisons ce type d'audit à l'aide de la directive CobiT, développée par l'association anglo-saxonne ISACA et de la norme ISO17799, dérivée du standard Anglais BS7799.
Détecter les failles connues avant qu'elles ne soient exploitées par les pirates.
La PME sera probablement plus intéressée par d'autres prestations qui lui offrent une approche beaucoup plus concrète et technique. Il s'agit des audits de vulnérabilités en ligne.
Le but est ici de détecter les éventuelles failles de sécurité des systèmes informatiques de l'entreprise visibles depuis Internet, ou visibles seulement depuis l'intérieur de l'entreprise. Ces audits sont réalisés à l'aide de scanners de vulnérabilités qui s'appuient sur une base d'attaques connues. L'idée est de détecter les failles connues, celles régulièrement découvertes dans les serveurs web, FTP et autres applications, avant qu'elles ne soient exploitées par des pirates. L'avantage de ces tests tient à leur rapidité, leur simplicité de mise en œuvre.