Tous à l’audit de sécurité ?
Avec l’arrivée prochaine du RGPD, les offres d’audit de sécurité se déploient à vitesse grand V, recouvrant des réalités et des tarifs divers et variés…. Certaines proposeront uniquement des évaluations de vulnérabilités, d’autres des tests d’intrusion… noyant le véritable sens et l’objectif de l’audit de sécurité.
L’audit de sécurité : une photographie à un instant T
Cette démarche lourde et coûteuse, s’adresse principalement aux grandes organisations ou aux secteurs soumis à des réglementations particulières, tel le secteur financier, tenu d’obtenir la certification PCI DSS.
L’objectif est de faire soit un état des lieux de la sécurité de l’entreprise pour en évaluer le niveau soit de tester l’efficacité de moyens techniques ou organisationnels mis en place (suite aux recommandations d’un premier audit par exemple).
En ce sens, les audits quels qu’ils soient (audits internes, audits de clients, audits de certification, audit de commissaires aux comptes) sont davantage utilisés par les parties prenantes. S’ils ne servent pas directement la productivité d’une DSI, la perception qualitative de cette dernière aura cependant un impact sur les moyens débloqués à son égard.
Les référentiels et les méthodologies sont variés (Mehari, CRAMM, COBIT, etc.) mais les thèmes abordés par ces audits se ressemblent.
Pour se faire une idée de ce que peut recouvrir un audit de sécurité, les normes ISO 2700x dressent une liste exhaustive des thèmes susceptibles d’être abordés : politique de sécurité, organisation de la sécurité, ressources humaines, gestion des actifs, contrôle des accès, cryptographie, sécurité physique, sécurité de l’exploitation, sécurité des communications, acquisition développement et maintenance des SI, relations fournisseurs, gestion des incidents, continuité d’activité, conformité…
Ces audits peuvent nécessiter le recours à des pratiques telles que l’évaluation des vulnérabilités, l’audit de code, des tests d’intrusion. Cela n’est en aucun cas systématique : tout dépend des objectifs fixés par les commanditaires. Rappelons-le : l’audit de sécurité au sens strict est organisationnel avant d’être technique.
A la fin de ce dernier, un rapport est remis à l’audité intégrant des recommandations et un plan d’action pour corriger les vulnérabilités et réduire les risques.
La DSI devra répondre à ce rapport par une analyse des risques.
La gestion des vulnérabilités : un process d’amélioration continue
Cependant l’audit présente des limites :
- Réalisé une à deux fois par an dans le meilleur des cas, il ne peut pas prendre en compte les nouvelles vulnérabilités.
11 592 nouvelles vulnérabilités ont été recensées par la base Common Vulnerabilities and Exposures (CVE) au cours de cette année :
- Destinés à organiser la sécurité dans les entreprises dans son ensemble ou à se concentrer sur un point très précis, il ne peut être suffisamment exhaustif pour la sécurité opérationnelle, ou alors trop couteux.
La plupart des standards décrivent ce qui est communément attendu pour assurer la sécurité d’une organisation a minima. Les normes et les attentes qualitatives d’un audit donne ainsi un faux sentiment de sécurité.
Prenons l’exemple d’un étudiant qui aurait bachoté intensément la semaine précédant l’examen voire un peu triché le jour J et celui d’un étudiant qui réviserait et pratiquerait tous les jours. A votre avis, à note égale, lequel est le plus compétent et le plus endurant ?
Il est donc nécessaire d’aller au delà pour faire face aux nouvelles vulnérabilités applicatives, qui sont exploitées dans 4 attaques sur 5. Plus récemment, les vulnérabilités hardware ont également été mises sur le devant de la scène : Spectre, Meltdown ou encore la vulnérabilité AMT d’Intel découverte par F-Secure.
Gérer les vulnérabilités pour réduire sa surface d’attaque est donc indispensables pour prédire et prévenir les risques au sein de l’organisation de manière continue.
Le premier niveau, bien plus concret (et bien plus économique) qu’un audit de sécurité, est d’utiliser un scanner de vulnérabilités, idéalement tous les mois afin d’opérer les correctifs dans le mois qui suit leur détection.
F-Secure Radar permet de cartographier les actifs de votre réseau et d’identifier les vulnérabilités connues, répertoriées à partir de différentes sources.
Une fois identifiées, ces vulnérabilités seront détaillées dans des rapports qui peuvent être personnalisés en fonction des équipes (système et réseau, développeurs) : Comment ont-elles été découvertes ? Quelles sont les résolutions ? Quelles sont les priorités à gérer ? La plateforme est également disponible en service géré via notre réseau de partenaires, ce qui vous permet d’être accompagné sur les opérations de correctifs.
Pour les risques d’attaques sur-mesure par injection de code SQL, F-Secure Radar est capable d’identifier les applications répondant à ce type d’attaque. Mais une analyse manuelle doit être menée en parallèle pour déceler les subtilités contextuelles.
Et pour aller encore plus loin, et faire face aux attaques avancées et Zero-Day, vous pouvez commanditer des tests d’intrusion menées grandeur nature par des hackers éthiques. Ces derniers disposent ou non d’informations sur l’entreprise. Lorsque c’est le cas, on parle de white ou de grey box. Lorsque ce n’est pas le cas, on parle de black box. L’objectif est de tester la robustesse de votre organisation ou d’un aspect particulier – serveurs ou applications – mais les pirates exploiteront un chemin et non tous les chemins possibles et imaginables.
De même, un audit de sécurité peut compléter une approche de gestion des vulnérabilités concernant des environnements identifiés comme critiques, sur lesquels, une attaque aurait des conséquences désastreuses (ex : le site Internet d’une société de e-commerce).
Pour conclure, faites donc attention à ce que recouvre une offre appelée « audit de sécurité » : il pourrait simplement s’agir d’un scan de vulnérabilités. Si c’est le cas, autant en mettre un en place dans votre entreprise ou passer par un service managé tel que F-Secure Radar. Vous pourrez ainsi gérer les vulnérabilités en continu, réagir rapidement en cas d’attaque massive de type Wannacry et reporter, chiffres à l’appui, l’évolution de la sécurité de votre organisation.
Catégories