Sécurité informatique : la méthode d’audit de son SI
Par Nicolas EVEN, RSSI AZNETWORK
L’audit de sécurité informatique : les indispensables à savoir
Nous attachons une importance particulière à notre méthodologie d’analyse de risques, utilisée pour identifier, apprécier et traiter les risques pesant sur les Systèmes d’Information.
Le Système d’Information – SI, est un élément central d’une entreprise ou d’une organisation. Il représente l’ensemble des éléments participant à la gestion, au traitement, au transport et à la diffusion de l’information selon ses degrés de confidentialité.
Le SI permet de créer, collecter, stocker, traiter, transformer et diffuser des informations sous tout type de format (textes, images, sons, vidéos…) et donc de véhiculer des informations et de communiquer grâce à un ensemble de ressources matérielles, humaines et logicielles.
Pour être pertinente et exhaustive, une analyse de risques doit aussi prendre en considération les éléments non-informatiques tels que les locaux et leur sécurité, ainsi que la gestion des ressources humaines. Elle étudie les process, les actifs, les propriétaires d’actifs, les usages.
Les objectifs
Les 5 objectifs de notre analyse sont :
- repérer les vulnérabilités* du SI dans un périmètre défini
- évaluer le niveau de maturité du système d’information
- évaluer la robustesse du SI en terme de sécurité
- fournir une cartographie exhaustive des risques encourus, leur probabilité et leur gravité en cas d’occurrence
- livrer des préconisations de réduction des risques selon leur importance. Dans la mesure du possible, une estimation du coût de mise en œuvre de ces préconisations est fournie.
Les différentes étapes de l’audit :
- Étude des besoins de sécurité
- Audit des mesures de sécurité sur site
- Appréciation des risques
- Plan de traitement des risques
Étape 1 : L’étude des besoins de sécurité
Le BIA – Business Impact Analysis, est une étape incontournable. C’est une technique pour mesurer les besoins de sécurité. Il a pour objectif de déterminer les activités essentielles ou critiques de l’entreprise et d’affiner le périmètre de l’audit.
Cette approche doit obligatoirement se réaliser en collaboration avec les cadres, les responsables métiers qui seront impliqués dans la démarche tout au long du processus (appréciation des risques, acceptation des risques résiduels, choix des mesures de sécurité…)
Le BIA permet de répondre à des questions comme :
- “que se passe-t-il si cette donnée est perdue ?”
- “que se passe-t-il si nous avons une attaque d’un virus ?”
Cette première étape vise à définir les besoins en sécurité dans les domaines suivants :
- Disponibilité : Aptitude du système à être accessible et utilisable lorsque cela est requis
- Confidentialité : Aptitude du système à réserver l’accès aux informations aux seules personnes autorisées
- Intégrité : Aptitude du système à demeurer intact, exact
Une approche méthodique au service du Business consiste à :
- Identifier des failles de sécurité sur le périmètre retenu
- Décrire les incidents de sécurité possibles
- Déterminer les impacts potentiels des incidents de sécurité sur le Business
- Déduire les exigences de sécurité
Étape 2 : L’audit
Une évaluation des mesures de sécurité liées à la norme ISO 27002 est ensuite réalisée.
La norme ISO 27002 est un code de bonnes pratiques, présentant une série de préconisations concrètes, abordant des aspects tant techniques qu’organisationnels pour la gestion de la sécurité de l’information.
Cet audit est fait à partir d’un diagnostic sur chacun des sites de l’existant et des besoins, avec une analyse de la configuration de l’architecture informatique et en prenant en compte le contexte du client, jusqu’à sa stratégie.
Les domaines d’analyse
L’audit du Système d’information est réalisé à plusieurs niveaux :
- Locaux : Environnement permettant de faire fonctionner les matériels électroniques
- Matériels : Équipements électroniques utilisés, servant de support aux composants logiciels.
- Réseaux : Éléments de mise en réseau local et Internet
- Systèmes d’exploitation : Composants logiciels génériques faisant l’interface entre les logiciels et le matériel
- Applications : Applications métiers répondant aux besoins métiers
- Gouvernance SI : Mesures organisationnelles misent en place afin de piloter les projets, l’exploitation, les incidents et les changements sur le Système d’Information
Les critères d’évaluations :
L’audit s’attache à évaluer les menaces pesant sur le SI, susceptibles d’altérer sa capacité à :
- Répondre aux besoins fonctionnels
- Répondre aux performances attendues
- Tolérer un dysfonctionnement (panne, bug…)
- Assurer la confidentialité des données sensibles
L’audit est fait à partir de :
- 20 domaines évalués : mesures évaluées selon les critères reconnus par les normes internationales (ISO 27002:270013, PCI-DSS…)
- Audit réalisé par des experts en sécurité : Ingénieurs expérimentés dans le traitement des données de santé à caractère personnel.
Étape 3 : L’appréciation des risques
L’étape d’appréciation des risques permet d’identifier les risques, leurs conséquences et vraisemblances, ainsi que les risques inacceptables.
Afin d’établir une stratégie et de prioriser les actions, l’audit évalue les risques sur une échelle, en estimant la gravité et la probabilité d’occurrence de chaque menace :
Niveau de risque = gravité * probabilité
L’appréciation de risques est un diagnostic / une analyse des différents domaines évalués comme les applications utilisées, les locaux utilisés, le matériel, le réseau, le système d’exploitation.
Lors de ce diagnostic, les vulnérabilités et les mesures déjà mises en place sont aussi relevées et cartographiées. C’est à partir de cela que nous pouvons estimer le tableau final des niveaux de risque.
Ce document récapitulatif est à mettre à jour le plus régulièrement possible afin de visualiser les résultats de l’appréciation des risques et l’état d’avancement du plan de traitement des risques.
Étape 4 : Le Plan de Traitement des Risques
Le plan de traitement du risque préconise des mesures de sécurité assurant un bon compromis coût / efficacité permettant de répondre aux objectifs de sécurité définis en amont. Il aide également à prioriser les actions à mener en fonction du niveau de risque.
Les actions prioritaires seront présentées via différents scenarii qui comporteront les mises en œuvre, le niveau de complexité et un budget prévisionnel par l’auditeur.
L’audit est remis lors d’une réunion de présentation aux personnes internes habilitées. Elles seront alors en mesure d’analyser et de porter un diagnostic contradictoire sur les différentes propositions.
A l’issue de cet échange, un plan d’actions sera défini et déterminera les mesures à mettre en place pour la réduction des niveaux de risques dans le temps.
Pour une efficacité optimale, les risques doivent être réétudiés en cas de changement important et/ou de manière régulière (exemple : biannuel).
Ce qu’il faut retenir
Les étapes d’audit et d’appréciation des risques sont les étapes les plus décisives dans ce contexte d’audit sécurité. En effet, elles permettent d’identifier et de déterminer le plan d’action à envisager et les actions à mener pour diminuer les menaces.
Vous souhaitez avoir un système d’information performant, évolutif et optimisé ? Vous souhaitez que votre SI soit adapté à votre organisation et soit efficace ?
Faire appel à un expert dans le domaine vous apportera une meilleure connaissance de votre SI grâce aux conseils, analyses et préconisations personnalisées qu’il saura vous apporter.
Nos experts seront ravis de vous conseiller