Qu’est-ce qu’un audit de sécurité ?
Un audit de sécurité est une évaluation systématique de la sécurité du système d’information d’une entreprise en mesurant sa conformité à un ensemble de critères établis. Un audit approfondi évalue généralement la sécurité de la configuration physique et de l’environnement du système, des logiciels, des processus de gestion des informations et des pratiques des utilisateurs.
Les audits de sécurité sont souvent utilisés pour déterminer la conformité à des réglementations telles que la Loi sur la portabilité et la responsabilité de l’assurance maladie, la Loi Sarbanes-Oxley et la Loi californienne sur les informations sur les atteintes à la sécurité qui spécifient comment les organisations doivent traiter les informations.
Ces audits sont l’un des trois principaux types de diagnostics de sécurité, avec les évaluations de vulnérabilité et les tests d’intrusion. Les audits de sécurité mesurent la performance d’un système d’information par rapport à une liste de critères. Une évaluation de vulnérabilité est une étude approfondie d’un système d’information, à la recherche de faiblesses potentielles en matière de sécurité. Les tests de pénétration sont une approche secrète dans laquelle un expert en sécurité teste pour voir si un système peut résister à une attaque spécifique. Chaque approche a des forces inhérentes et l’utilisation de deux ou plusieurs en conjonction peut être l’approche la plus efficace.
Les organisations doivent élaborer un plan d’audit de sécurité qui peut être répété et mis à jour. Les parties prenantes doivent être incluses dans le processus pour obtenir les meilleurs résultats.
Pourquoi faire un audit de sécurité ?
Il y a plusieurs raisons de faire un audit de sécurité. Ils incluent ces six objectifs:
- Identifier les problèmes et les lacunes de sécurité, ainsi que les faiblesses du système.
- Établissez une base de sécurité avec laquelle les audits futurs peuvent être comparés.
- Se conformer aux politiques de sécurité internes de l’organisation.
- Se conformer aux exigences réglementaires externes.
- Déterminer si la formation en matière de sécurité est adéquate.
- Identifiez les ressources inutiles.
Les audits de sécurité aideront à protéger les données critiques, à identifier les failles de sécurité, à créer de nouvelles politiques de sécurité et à suivre l’efficacité des stratégies de sécurité. Des audits réguliers peuvent aider à s’assurer que les employés respectent les pratiques de sécurité et peuvent détecter de nouvelles vulnérabilités.
Quand un audit de sécurité est-il nécessaire ?
La fréquence à laquelle une organisation effectue ses audits de sécurité dépend de l’industrie dans laquelle elle se trouve, des exigences de son entreprise et de sa structure d’entreprise, ainsi que du nombre de systèmes et d’applications devant être vérifiés. Les organisations qui traitent beaucoup de données sensibles – telles que les services financiers et les fournisseurs de soins de santé – sont susceptibles de faire des audits plus fréquemment. Ceux qui n’utilisent qu’une ou deux applications trouveront plus facile d’effectuer des audits de sécurité et peuvent les faire plus fréquemment. Des facteurs externes, comme les exigences réglementaires, influent également sur la fréquence des audits.
De nombreuses entreprises effectueront un audit de sécurité au moins une ou deux fois par an. Mais ils peuvent également être effectués mensuellement ou trimestriellement. Différents départements peuvent avoir des calendriers d’audit différents, selon les systèmes, les applications et les données qu’ils utilisent. Les audits de routine – qu’ils soient effectués annuellement ou mensuellement – peuvent aider à identifier les anomalies ou les tendances dans un système.
Les audits trimestriels ou mensuels peuvent être plus importants que ce pour quoi la plupart des organisations ont le temps ou les ressources nécessaires, cependant. Les facteurs déterminants de la fréquence à laquelle une organisation choisit d’effectuer des audits de sécurité dépendent de la complexité des systèmes utilisés et du type et de l’importance des données dans ce système. Si les données d’un système sont jugées essentielles, alors ce système peut être audité plus souvent, mais les systèmes compliqués qui prennent du temps à auditer peuvent l’être moins fréquemment.
Une organisation doit effectuer un audit de sécurité spécial après une violation de données, une mise à niveau du système ou une migration de données, ou lorsque des modifications aux lois de conformité se produisent, lorsqu’un nouveau système a été mis en œuvre ou lorsque l’entreprise se développe par plus d’un nombre défini d’utilisateurs. Ces audits ponctuels peuvent se concentrer sur un domaine spécifique où l’événement peut avoir ouvert des failles de sécurité. Par exemple, si une violation de données vient de se produire, un audit des systèmes concernés peut aider à déterminer ce qui n’a pas fonctionné.
Types d’audits de sécurité
Les audits de sécurité se présentent sous deux formes, les audits internes et externes, qui impliquent les procédures suivantes:
- Audits internes. Dans ces audits, une entreprise utilise ses propres ressources et son service d’audit interne. Les audits internes sont utilisés lorsqu’une organisation souhaite valider les systèmes métier pour la conformité aux politiques et aux procédures.
- Audits externes. Avec ces audits, une organisation externe est mandatée pour effectuer un audit. Des audits externes sont également effectués lorsqu’une organisation doit confirmer qu’elle est conforme aux normes de l’industrie ou aux règlements gouvernementaux.
Il existe deux sous-catégories d’audits externes : les audits de deuxième et de troisième partie. Les audits de seconde partie sont effectués par un fournisseur de l’organisation faisant l’objet de l’audit. Les audits effectués par des tiers sont effectués par un groupe indépendant et impartial, et les auditeurs impliqués n’ont aucun lien avec l’organisation faisant l’objet de l’audit.
Quels systèmes couvre un audit ?
Lors d’un audit de sécurité, chaque système utilisé par une organisation peut être examiné pour détecter des vulnérabilités dans les domaines suivants:
- Vulnérabilités du réseau. Les auditeurs recherchent les faiblesses de tout composant du réseau qu’un attaquant pourrait exploiter pour accéder à des systèmes ou à des informations ou causer des dommages. Les informations qui circulent entre deux points sont particulièrement vulnérables. Des audits de sécurité et une surveillance régulière du réseau permettent de suivre le trafic réseau, y compris les e-mails, les messages instantanés, les fichiers et autres communications. La disponibilité du réseau et les points d’accès sont également inclus dans cette partie de l’audit.
- Contrôles de sécurité. Avec cette partie de l’audit, l’auditeur examine l’efficacité des contrôles de sécurité d’une entreprise. Cela comprend l’évaluation de la façon dont une organisation a mis en œuvre les politiques et procédures qu’elle a établies pour protéger ses informations et ses systèmes. Par exemple, un auditeur peut vérifier si l’entreprise conserve un contrôle administratif sur ses appareils mobiles. L’auditeur teste les contrôles de l’entreprise pour s’assurer qu’ils sont efficaces et que l’entreprise suit ses propres politiques et procédures.
- Chiffrement. Cette partie de l’audit vérifie qu’une organisation a des contrôles en place pour gérer les processus de cryptage des données.
- Systèmes logiciels. Ici, les systèmes logiciels sont examinés pour s’assurer qu’ils fonctionnent correctement et fournissent des informations précises. Ils sont également vérifiés pour s’assurer que des contrôles sont en place pour empêcher les utilisateurs non autorisés d’accéder aux données privées. Les domaines examinés comprennent le traitement des données, le développement de logiciels et les systèmes informatiques.
- Capacités de gestion de l’architecture. Les vérificateurs vérifient que la direction des TI a mis en place des structures et des procédures organisationnelles pour créer un environnement efficace et contrôlé pour traiter l’information.
- Contrôles des télécommunications. Les auditeurs vérifient que les contrôles des télécommunications fonctionnent à la fois côté client et côté serveur, ainsi que sur le réseau qui les relie.
- Audit de développement de systèmes. Les audits portant sur ce domaine vérifient que tous les systèmes en cours de développement répondent aux objectifs de sécurité fixés par l’organisation. Cette partie de la vérification vise également à s’assurer que les systèmes en cours d’élaboration respectent les normes établies.
- Traitement de l’information. Ces audits vérifient que des mesures de sécurité du traitement des données sont en place.
Les organisations peuvent également combiner des types d’audit spécifiques en un seul audit global d’examen des contrôles.
Étapes d’un audit de sécurité
Ces cinq étapes font généralement partie d’un audit de sécurité:
- Convenir d’objectifs. Inclure tous les intervenants dans les discussions sur ce qui devrait être réalisé avec la vérification.
- Définissez la portée de l’audit. Énumérez tous les actifs à auditer, y compris le matériel informatique, la documentation interne et les données traitées.
- Effectuer l’audit et identifier les menaces. Liste des menaces potentielles liées à chacune des menaces peuvent inclure la perte de données, d’équipements ou d’enregistrements à la suite de catastrophes naturelles, de logiciels malveillants ou d’utilisateurs non autorisés.
- Évaluer la sécurité et les risques. Évaluez le risque que chacune des menaces identifiées se produise et dans quelle mesure l’organisation peut s’en défendre.
- Déterminez les contrôles nécessaires. Déterminer quelles mesures de sécurité doivent être mises en œuvre ou améliorées pour minimiser les risques.
En savoir plus sur d’autres types d’audits
Meilleures pratiques pour la préparation d’audits de sauvegarde
Audit du plan de continuité des activités
Préparez une liste de contrôle d’audit de conformité que les auditeurs souhaitent voir
Comment effectuer un audit IoT pour la conformité
Test vs évaluation vs audit
Les audits sont un concept distinct d’autres pratiques telles que les tests et les évaluations. Un audit est un moyen de valider qu’une organisation respecte les procédures et les politiques de sécurité établies en interne, ainsi que celles établies par les groupes de normalisation et les organismes de réglementation. Les organisations peuvent effectuer elles-mêmes des audits ou faire appel à des tiers pour les réaliser. Les meilleures pratiques d’audit de sécurité sont disponibles auprès de diverses organisations de l’industrie.
Un test, tel qu’un test de pénétration, est une procédure permettant de vérifier qu’un système spécifique fonctionne comme il se doit. Les professionnels de l’informatique qui effectuent les tests recherchent des lacunes susceptibles d’ouvrir des vulnérabilités. Avec un test de stylo, par exemple, l’analyste de la sécurité pirate le système de la même manière qu’un acteur de la menace, pour déterminer ce qu’un attaquant peut voir et accéder.
Une évaluation est un test planifié tel qu’une évaluation du risque ou de la vulnérabilité. Il examine le fonctionnement d’un système, puis le compare à son état de fonctionnement actuel. Par exemple, une évaluation de la vulnérabilité d’un système informatique vérifie l’état des mesures de sécurité protégeant ce système et si elles réagissent comme elles le devraient.
Les audits de sécurité font partie d’une stratégie globale de protection des systèmes et des données informatiques. Découvrez les dernières réflexions sur les meilleures pratiques et procédures en matière de cybersécurité.