Pourquoi et comment commander un audit de cybersécurité

Pourquoi faire un audit

Alors que les piratages médiatisés deviennent de plus en plus fréquents (easyJet en 2020, la classe politique allemande en 2019, Ticketmaster en 2018, TV5 Monde en 2015, ...) beaucoup d'entreprises françaises restent encore mal préparées à subir une telle attaque. Pourtant, la sécurité de ces entreprises peut facilement être améliorée avec un peu de méthode.

Le premier pas vers une amélioration de la situation, c'est de réaliser un état des lieux. Une fois cet état des lieux en main, il est possible d'identifier des chantiers bénéfiques, de les planifier, puis d'en suivre la bonne réalisation.

Qu'est-ce-qu'un audit de cybersécurité

Un audit de cybersécurité, c'est justement le premier pas idéal. Dans les grandes lignes théorique, un audit de sécurité informatique suivra, plus ou moins grossièrement, la norme ISO 19011 (qui décrit comment auditer un système de management, dont les systèmes de management de la sécurité de l'information tels qu'ils sont décrits dans la norme ISO 27001). Dans la pratique, un audit de cybersécurité se déroule généralement de la façon suivante :

  1. Le commanditaire, qui est une personne ayant autorité sur un système d'information (DSI, RSSI, Chef de projet applicatif, etc.), décide d'en faire réaliser un audit. Pour ce faire, il contacte une équipe d'auditeurs.
  2. L'équipe d'auditeurs, en lien avec le commanditaire et, éventuellement, avec les personnes qui seront plus directement audités (administrateurs système, développeurs, le commanditaire lui-même, etc.) rédige une proposition d'intervention, incluant un calendrier prévisionnel.

  3. Une réunion d'initialisation, permettant aux auditeurs, au commanditaire, et aux audités de rappeler le périmètre qui sera étudié, comment il sera étudié, et quels sont les objectifs visés.

  4. Des analyses techniques réalisés par les auditeurs et pendant lesquelles des points de contrôles sont vérifiés par rapport aux référentiels qui ont été rappelés en réunion d'initialisation (bonne pratiques, état de l'art, normes réglementaires, etc.)
  5. Une réunion de restitution à chaud, dès la fin des analyses techniques, qui permet à l'équipe d'auditeurs de donner une première vision des résultats au commanditaires.
  6. Une réunion de cloture réalisée quelques jours plus tard où l'équipe d'audit présente son rapport complet au commanditaire et aux personnes qu'il aura convié (généralement: un ou plusieurs représentants de l'audité).

Comment utiliser au mieux les résultats