Un audit de sécurité informatique permet d’obtenir une vision complète des points forts et des faiblesses de la sécurité des systèmes d’information d’une entreprise, à un moment précis.
Pour effectuer cet audit, il est nécessaire de faire appel à un expert en sécurité informatique, également appelé “auditeur”.
L’auditeur mettra en évidence toutes les vulnérabilités de votre sécurité informatique, tant au niveau logiciel (CVE) qu’au niveau de la configuration et de l’utilisation des outils informatiques par les collaborateurs de l’entreprise.
Il est important de souligner que les erreurs de configuration sont devenues une source fréquente de piratage ces dernières années. En juillet 2020, un pirate informatique a tenté de rançonner 23 000 bases de données MongoDb en raison d’une erreur de configuration présente sur toutes les instances.
Cette évaluation permet de mieux comprendre et d’évaluer le niveau global de sécurité de l’entreprise.
Cependant, l’audit n’est pas une boîte noire, il repose sur un référentiel et un périmètre définis. Parmi ces documents, on retrouve généralement une cartographie du parc informatique et du réseau, une documentation sur le fonctionnement des outils développés en interne et le règlement propre à l’entreprise.
L’audit informatique est réalisé sur l’environnement de production et de développement, sans aucun impact sur l’activité normale de l’entreprise.
Pourquoi réaliser un audit de sécurité informatique ?
Auditer votre infrastructure informatique permet de remédier à toute vulnérabilité pouvant entraîner une intrusion informatique, voire une compromission totale ou une fuite de données.
L’audit ne se limite pas aux failles de sécurité logicielles (CVE), il porte également sur les erreurs de configuration et l’utilisation des outils informatiques par les collaborateurs de l’entreprise.
Il est également important de noter qu’un audit de sécurité informatique révèle souvent des failles de sécurité, mais aussi un besoin d’accompagnement et de renforcement des compétences en cybersécurité au sein des équipes.
Il est donc impératif que les décideurs accompagnent préalablement les équipes interviewées afin d’éviter toute frustration ou sentiment de jugement.
Si les collaborateurs interrogés résistent à cet exercice, les résultats seront faussés. Il est donc essentiel de bien préparer cette étape et de communiquer avec les équipes.
Tests d’intrusion et recherche de vulnérabilités
Les tests d’intrusion et la recherche de vulnérabilités sont les étapes clés d’un audit de sécurité informatique.
Ces tests permettent de mettre en évidence la présence de failles de sécurité, de défauts de configuration, de logiciels malveillants ou de traces d’intrusions.
Les tests d’intrusion, également appelés tests de pénétration ou pentest, sont généralement proposés sous trois formats.
Attention : plus l’exercice est difficile, plus la durée de l’audit et son coût augmentent.
Test de pénétration black box ou boîte noire
Les tests de pénétration en mode boîte noire signifient que l’auditeur n’a aucune information sur l’infrastructure du client auditée.
Seuls le nom de l’entreprise et le domaine du site web sont partagés avec l’équipe d’audit.
Ainsi, ces derniers effectueront une phase de reconnaissance appelée “recon”. Ils scanneront et analyseront toutes les adresses IP liées à l’entreprise cible afin de trouver d’éventuelles failles permettant une infiltration dans le réseau interne de l’entreprise.
Après cette phase de reconnaissance, l’attaquant cherchera à recueillir des informations sensibles. Par exemple, il pourra utiliser des techniques d’ingénierie sociale pour cibler les employés et obtenir les identifiants et mots de passe d’un responsable informatique.
Ces informations permettront à l’attaquant de contourner les systèmes de sécurité et, dans les pires cas, de compromettre l’ensemble du système grâce à une élévation des privilèges.
L’utilisation d’un test de pénétration en boîte noire comporte toutefois des risques. Le consultant s’attaquera aux applications web de production, ainsi qu’aux environnements gérés par des sous-traitants. Il est donc important de réglementer cet exercice pour éviter d’attaquer un système informatique appartenant à une autre entreprise.
Test de pénétration grey box ou boîte grise
Le test d’intrusion en boîte grise simule une fuite d’informations sensibles.
Dans ce cas, des documents internes, des diagrammes d’infrastructure et un organigramme de l’entreprise peuvent être partagés avec l’auditeur.
Le test d’intrusion en boîte grise permet de réduire la durée de l’audit. La phase de reconnaissance est ainsi anticipée, et du temps peut être alloué à d’autres étapes, comme le fuzzing.
Test de pénétration white box, crystal box ou boîte blanche
Le dernier format d’audit est celui de la boîte blanche, également appelée white box ou crystal box.
Dans ce cas, l’équipe d’audit dispose de toutes les informations dont elle a besoin.
Les étapes de reconnaissance et d’authentification sont simplifiées, et l’audit (ressemblant davantage à un audit interne) se concentre sur les vulnérabilités, les failles du système, la protection des données (accès, chiffrement, etc.) et l’analyse des risques.
Il est également possible de procéder à une revue du code source et à des tests de stress des équipements réseau (pare-feu, routeurs, bornes WiFi) pour se prémunir contre des attaques telles que les attaques par déni de service (DDoS).
Il est important de garder à l’esprit qu’une intrusion dans le réseau peut être réalisée à distance ou physiquement sur les équipements.
Préconisations et conseils
À la fin de cette mission d’audit, un rapport sera rédigé. Ce rapport mettra en évidence les failles de sécurité selon différents indicateurs.
Les failles critiques représentent un risque cyber important pour l’entreprise et doivent être corrigées immédiatement.
Les failles de vulnérabilité moyenne nécessitent des actions correctives à court terme.
Les failles de vulnérabilité basse sont des failles de sécurité pouvant être difficilement exploitées et seulement dans des circonstances particulières.
À terme, une analyse des risques et un plan d’actions correctives seront suggérés.
Accompagnement à la mise en œuvre de ces recommandations
La dernière phase de cet audit de sécurité est la phase de conseil.
La mise à jour des serveurs, l’ajout de règles de filtrage, l’adoption d’un nouveau mode d’authentification, l’amélioration du chiffrement des données, etc. L’implémentation des correctifs peut entraîner des interruptions de service au sein de l’entreprise.
Il est donc essentiel de faire accompagner l’entreprise durant cette phase.
Un second audit dédié aux corrections pourra également être lancé.