Réaliser un audit de sécurité interne est un excellent moyen de mettre votre entreprise sur la bonne voie pour se protéger contre une violation de données et d’autres menaces de sécurité coûteuses. De nombreux professionnels de l’informatique et de la sécurité considèrent l’audit de sécurité comme une solution stressante et coûteuse pour évaluer la conformité de leur organisation en matière de sécurité (c’est le cas, les coûts des audits de sécurité externes oscillant autour de 50 000 dollars). Mais ils négligent le fait qu’avec la bonne formation, les bonnes ressources et les bonnes données, un audit de sécurité interne peut s’avérer efficace pour noter la sécurité de leur organisation, et peut créer des informations critiques et exploitables pour améliorer les défenses de l’entreprise.
Il y a cinq étapes que vous devez suivre pour vous assurer que votre audit de sécurité interne fournira un retour sur votre investissement :
- Définir votre audit
- Définir vos menaces
- Évaluer les performances actuelles en matière de sécurité
- Prioriser (notation des risques)
- Formuler des solutions de sécurité
Audit de sécurité externe contre audit interne. Audit de sécurité interne
Avant de nous plonger dans les spécificités de chaque étape, il est important de comprendre la différence entre un audit de sécurité externe et interne. Un audit de sécurité externe a une valeur incroyable pour les entreprises, mais il est d’un coût prohibitif pour les petites entreprises et repose encore largement sur la coopération et la coordination des équipes informatiques et de sécurité internes. Ces équipes doivent avant tout trouver un partenaire d’audit externe respecté et abordable, mais elles sont également tenues de fixer des objectifs/attentes aux auditeurs, de fournir toutes les données pertinentes et précises et de mettre en œuvre les changements recommandés.
Pour autant, il y a une raison pour laquelle les grandes organisations s’appuient sur des audits externes (et pour laquelle les institutions financières sont tenues d’avoir des audits externes conformément à la loi Gramm-Leach-Bliley) en plus des audits et des évaluations réalisés par les équipes internes.
Les audits externes sont réalisés par des professionnels chevronnés qui disposent de tous les outils et logiciels appropriés pour mener un audit approfondi – en supposant qu’ils reçoivent les données et les directives requises. Parce qu’ils sont menés par des personnes extérieures à l’entreprise, cela garantit également qu’aucune unité commerciale n’est négligée en raison de préjugés internes. Les auditeurs ont l’avantage de comprendre tous les protocoles de sécurité et sont formés pour repérer les failles dans les systèmes physiques et numériques.
Malgré ces avantages, de nombreux professionnels de l’informatique et de la sécurité optent pour des audits de sécurité internes en raison de leur rapidité, de leur coût, de leur efficacité et de leur cohérence.
Avec un audit de sécurité interne, vous pouvez établir une base de référence à partir de laquelle vous pouvez mesurer l’amélioration pour les audits futurs. Comme ces audits internes sont essentiellement gratuits (moins l’engagement en temps), ils peuvent être effectués plus fréquemment. En outre, la collecte et le tri des données pertinentes sont simplifiés car elles ne sont pas distribuées à un tiers. Un autre avantage intéressant est que les audits de sécurité internes perturbent moins le flux de travail des employés.
Si vous décidez d’entreprendre un audit de sécurité interne, il est impératif que vous vous informiez sur les exigences de conformité nécessaires au maintien des protocoles de sécurité. Une fois familiarisé, vous aurez une compréhension des endroits où vous devriez chercher – et cela signifie que vous êtes prêt à commencer votre audit de sécurité interne.
Voici les cinq étapes simples et peu coûteuses que vous pouvez suivre pour mener un audit de sécurité interne :
Définir votre audit
Votre premier travail en tant qu’auditeur est de définir la portée de votre audit – ce qui signifie que vous devez écrire une liste de tous vos actifs. Les actifs comprennent des choses évidentes comme l’équipement informatique et les données sensibles de l’entreprise et des clients, mais cela inclut également des choses sans lesquelles l’entreprise aurait besoin de temps ou d’argent pour réparer, comme la documentation interne importante.
Une fois que vous avez une longue liste d’actifs, vous devez définir votre périmètre de sécurité.
Un périmètre de sécurité segmente vos actifs en deux catégories : les choses que vous allez auditer et les choses que vous n’allez pas auditer. Il est déraisonnable de s’attendre à pouvoir tout auditer. Choisissez vos actifs les plus précieux, construisez un périmètre de sécurité autour d’eux et concentrez-vous à 100% sur ces actifs.
Définissez vos menaces
Puis, prenez votre liste d’actifs précieux et écrivez une liste correspondante de menaces potentielles pour ces actifs.
Cela peut aller de mauvais mots de passe d’employés protégeant des données sensibles de l’entreprise ou des clients, à des attaques DDoS (déni de service), et peut même inclure des brèches physiques ou des dommages causés par une catastrophe naturelle. Essentiellement, toute menace potentielle devrait être prise en compte, tant que la menace peut légitimement coûter à vos entreprises une somme d’argent importante.
Voici une liste de menaces courantes auxquelles vous devriez penser au cours de cette étape :
- Employés négligents : Vos employés sont votre première ligne de défense – sont-ils bien formés pour remarquer les activités suspectes (ex. phishing) et pour suivre les protocoles de sécurité établis par votre équipe ? Réutilisent-ils des mots de passe personnels pour protéger les comptes sensibles de l’entreprise ?
- Attaques de phishing : Les auteurs de brèches se tournent de plus en plus vers les escroqueries par phishing pour accéder à des informations sensibles. Plus de 75 % des attaques par hameçonnage sont motivées par des raisons financières.
- Mauvais comportement en matière de mots de passe : Exploités dans 81 % des brèches liées au piratage, les mots de passe faibles ou volés sont la méthode n°1 utilisée par les auteurs d’attaques.
- Insiders malveillants : Il est important de tenir compte du fait qu’il est possible qu’une personne au sein de votre entreprise, ou ayant accès à vos données via une connexion avec un tiers, dérobe ou utilise abusivement des informations sensibles.
- Attaques DDos : Une attaque par déni de service distribué (DDoS) est ce qui se passe lorsque plusieurs systèmes inondent un système ciblé (typiquement un serveur web) et le surchargent, le rendant ainsi inutile.
- BYOD (Bring Your Own Device) : Votre organisation autorise-t-elle le BYOD ? Si c’est le cas, la surface d’attaque pour les auteurs d’infractions est plus grande, et plus faible. Tout appareil qui a accès à vos systèmes doit être pris en compte, même s’il n’appartient pas à votre entreprise.
- Malware : Cela représente un certain nombre de menaces différentes, comme les vers, les chevaux de Troie, les logiciels espions, et inclut une menace de plus en plus populaire : les rançongiciels.
- Bris physique ou catastrophe naturelle : Bien que peu probables, les conséquences de l’une ou des deux choses peuvent être incroyablement coûteuses. Dans quelle mesure votre organisation est-elle sensible ?
Évaluer les performances actuelles en matière de sécurité
Maintenant que vous avez votre liste de menaces, vous devez être franc quant à la capacité de votre entreprise à se défendre contre elles. À ce stade, vous évaluez la performance des structures de sécurité existantes, ce qui signifie que vous évaluez essentiellement la performance de vous-même, de votre équipe ou de votre département.
C’est un domaine où un audit externe peut apporter une valeur supplémentaire, car il garantit qu’aucun parti pris interne n’affecte le résultat de l’audit.
Il est essentiel, pour la légitimité et l’efficacité de votre audit de sécurité interne, d’essayer de bloquer toute émotion ou tout préjugé que vous avez à l’égard de l’évaluation et de l’appréciation de votre performance à ce jour, et de la performance de votre département en général.
Peut-être que votre équipe est particulièrement douée pour surveiller votre réseau et détecter les menaces, mais vos employés sont-ils au courant des dernières méthodes utilisées par les pirates pour accéder à vos systèmes ? En tant que première ligne de défense, vous devriez peut-être peser les menaces contre les employés plus lourdement que les menaces liées à la détection du réseau. Bien sûr, cela fonctionne dans les deux sens, selon les forces et les faiblesses de votre équipe en ce qui concerne les menaces auxquelles vous êtes confronté.
La prise en compte de la capacité de votre organisation à soit bien se défendre contre certaines menaces, soit à garder des actifs précieux bien protégés, est inestimable lors de l’étape suivante : la priorisation.
Prioriser (notation du risque)
C’est peut-être le travail le plus important que vous ayez en tant qu’auditeur. Comment établir des priorités ?
Prenez votre liste de menaces et pesez les dommages potentiels de l’occurrence d’une menace par rapport aux chances qu’elle puisse réellement se produire (attribuant ainsi un score de risque à chacune). Par exemple, une catastrophe naturelle peut anéantir une entreprise (score de risque élevé), mais si vos actifs existent dans un endroit qui n’a jamais été touché par une catastrophe naturelle, le score de risque doit être abaissé en conséquence.
N’oubliez pas d’inclure les résultats de l’évaluation des performances de sécurité actuelles (étape n°3) lors de la notation des menaces pertinentes.
Pendant votre évaluation des menaces, il est important de prendre du recul et d’examiner des facteurs supplémentaires :
- Historique de votre organisation : Votre entreprise a-t-elle subi une cyberattaque ou une violation dans le passé ?
- Tendances actuelles en matière de cybersécurité : Quelle est la méthode actuelle de choix pour les auteurs d’infractions ? Quelles sont les menaces qui gagnent en popularité, et celles qui deviennent moins fréquentes ? Quelles nouvelles solutions sont disponibles pour se défendre contre certaines menaces ?
- Tendances au niveau de l’industrie : Disons que vous travaillez dans le secteur financier, comment cela affecte-t-il non seulement vos données, mais aussi la probabilité d’une brèche ? Quels types de brèches sont plus fréquents dans votre secteur d’activité ?
- Réglementation et conformité : Êtes-vous une entreprise publique ou privée ? Quel type de données traitez-vous ? Votre organisation stocke-t-elle et/ou transmet-elle des informations financières ou personnelles sensibles ? Qui a accès à quels systèmes ? Les réponses à ces questions auront des implications sur le score de risque que vous attribuez à certaines menaces et sur la valeur que vous accordez à certains actifs.
Formulate Security Solutions
L’étape finale de votre audit de sécurité interne est simple : prenez votre liste de menaces classées par ordre de priorité et rédigez une liste correspondante d’améliorations de la sécurité ou de meilleures pratiques pour les annuler ou les éliminer. Cette liste est maintenant votre liste personnelle de choses à faire pour les semaines et les mois à venir.
Voici une liste de solutions de sécurité communes auxquelles vous pouvez penser pendant cette étape :
- Sensibilisation à l’éducation des employés : 50 % des dirigeants disent qu’ils n’ont pas de programme de formation de sensibilisation à la sécurité pour les employés. C’est inacceptable. Les employés sont le maillon le plus faible de la sécurité de votre réseau – créez une formation pour les nouveaux employés et des mises à jour pour les employés existants afin de les sensibiliser aux meilleures pratiques de sécurité, comme la façon de repérer un courriel de hameçonnage.
- Protection du courriel : Les attaques de phishing sont de plus en plus populaires de nos jours, et elles deviennent de plus en plus difficiles à identifier. Une fois cliqué, un email de phishing donne à un auteur un certain nombre d’options pour accéder à vos données via l’installation de logiciels. Les filtres anti-spam aident, mais l’identification des courriels comme « internes » ou « externes » à votre réseau est également très précieuse (vous pouvez ajouter cela à chaque objet pour que les employés sachent d’où proviennent les courriels).
- Sécurité des mots de passe et gestion des accès : Les mots de passe sont délicats, car ils doivent être complexes et uniques pour chaque compte. Les humains ne sont tout simplement pas câblés pour se souvenir de dizaines ou de centaines de mots de passe, et ont donc tendance soit à les réutiliser, soit à les stocker dans des documents Word ou des blocs-notes non protégés. Investissez dans un gestionnaire de mots de passe professionnel, éliminez la réutilisation des mots de passe, améliorez leur complexité et permettez le partage sécurisé des mots de passe. En tant qu’administrateur, vous pouvez également gérer qui a accès à quels mots de passe dans l’ensemble de l’organisation, afin de vous assurer que les comptes sensibles ne sont accessibles qu’au personnel approprié. N’oubliez pas d’utiliser l’authentification à deux facteurs pour une couche supplémentaire de sécurité.
- Surveillance du réseau : Les auteurs d’infractions tentent souvent d’accéder à votre réseau. Vous pouvez vous tourner vers un logiciel de surveillance du réseau pour vous aider à vous alerter de toute activité douteuse, des tentatives d’accès inconnues, et plus encore, pour vous aider à garder une longueur d’avance sur les intrus potentiellement dangereux. Ces logiciels, comme Darktrace, offrent une protection 24 heures sur 24 et 7 jours sur 7 et utilisent l’intelligence artificielle pour aider à identifier les cybercrimes avant qu’ils ne se produisent, mais sont généralement sur le côté coûteux.
- Sauvegarde des données : C’est étonnant de voir combien de fois les entreprises oublient cette étape simple. Si quelque chose arrive à vos données, votre entreprise est probablement grillée. Sauvegardez vos données de manière constante et assurez-vous qu’elles sont en sécurité et séparées en cas d’attaque de logiciels malveillants ou d’attaque physique de vos serveurs principaux.
- Mises à jour logicielles : Garder tout le monde sur votre réseau sur les derniers logiciels est inestimable pour sécuriser vos points d’accès. Vous pouvez appliquer les mises à jour logicielles manuellement, ou vous pouvez utiliser un logiciel comme Duo pour garder vos comptes sensibles verrouillés aux employés dont le logiciel n’est pas à jour.
Votre audit de sécurité interne est terminé
Félicitations, vous avez maintenant les outils pour réaliser votre premier audit de sécurité interne. Gardez à l’esprit que l’audit est un processus itératif et qu’il nécessite un examen continu et des améliorations pour les audits futurs.
Votre premier audit de sécurité devrait être utilisé comme base de référence pour tous les audits futurs – mesurer vos succès et vos échecs au fil du temps est la seule façon de vraiment évaluer la performance.
En continuant à améliorer vos méthodes et votre processus, vous créerez une atmosphère de révision de sécurité cohérente et vous vous assurerez d’être toujours dans la meilleure position pour protéger votre entreprise contre tout type de menace de sécurité.
Intéressé par un gestionnaire de mots de passe d’entreprise pour vous aider à éliminer la réutilisation des mots de passe et vous protéger contre la négligence des employés ? Jetez un coup d’œil à Dashlane Business, auquel plus de 7 000 entreprises dans le monde font confiance et qui est loué par les entreprises, grandes et petites, pour son efficacité à changer les comportements de sécurité et sa simplicité de conception qui permet une adoption à l’échelle de l’entreprise.