" "

4 étapes à suivre pour auditer correctement son système d’information

  • facebook
  • linkedin
4 étapes à suivre pour auditer correctement son système d’information

Nous vivons pleinement dans l’ère informatique et réseaux de télécommunication. Et dans le but d’atteindre ses objectifs, une entreprise fait siennes les nouvelles technologies de l’information (comme le cloud computing) pour assurer sa transformation numérique. D’ailleurs, pour faire évoluer votre entreprise, vous avez adopté une application métier (qui permet l’automatisation de tâches) pour chaque processus métier et multiplié l’ensemble des ressources informatiques (comme les SaaS) ainsi que le nombre d’objets connectés (Internet des objets). Sauf que mettre en place tout ceci multiplie également les risques et les incidents. Les entreprises sont de plus en plus exposées à la diffusion de l’information comme au piratage informatique. Pour réduire les risques, il est nécessaire de vérifier la sécurisation de votre système, comme le système d’information des ressources humaines par exemple, grâce à des audits sur votre système d’information. Voici 4 étapes à suivre pour réussir votre audit.

Qu’est-ce qu’un audit de système d’information ?

Un audit de système d’information est une évaluation de l’infrastructure informatique, des politiques de sécurité des systèmes d’information et des procédures de technologie de l’information d’une entreprise ou toute autre organisation. Il est le garant du bon fonctionnement de l’entreprise et de ses systèmes informatiques, de la sécurité des données traitées et de la bonne hygiène informatique des utilisateurs (souvent les employés de l’entreprise).

Un audit de système d’information peut s’adapter à la taille et à l’organisation de votre entreprise. Pour les grandes structures, il est ainsi possible de réaliser un audit individuel pour chaque domaine de votre entreprise.

L’objectif de l’audit de sécurité informatique est de trouver des moyens de réduire les risques de piratage et de perte de données, de corriger les comportements dangereux des employés et de réaliser la mise à jour des protocoles de sécurité du système d’information.

Les 4 étapes d’un audit de système d’information réussi

L’architecture des systèmes et l’administration des réseaux informatiques sont parfois très compliquées. Pour sécuriser les bases de données, les données du Big Data et assister les utilisateurs dans le bon fonctionnement des infrastructures informatiques, il est important de maîtriser votre audit de bout en bout. Suivez ces 4 étapes pour auditer correctement votre système d’informations.

1. Planification

Tout d’abord, la prise de décision entre un audit interne et un audit externe (par une entreprise informatique spécialisée dans la sécurisation) est importante. L’externalisation avec des prestataires offre un point de vue tiers et nouveau sur vos systèmes informatiques. Les grandes entreprises et les entreprises traitant des données sensibles ont généralement davantage recours à des audits externes par rapport aux petites et moyennes entreprises. L’audit interne est plus souvent utilisé par ces dernières, car moins coûteux.

Le must est de combiner les deux types d’audit afin d’en tirer entièrement profit. Par exemple, un audit interne chaque année complété d’un audit externe une fois tous les deux, trois ou quatre ans.

  1. Une fois la décision prise d’un audit interne, vous devrez décider de qui sera votre auditeur, votre DSI (direction des systèmes d’information) par exemple.
  2. Il se chargera du plan qui guidera l’exécution de l’audit. L’idéal est de lui donner la forme d’un calendrier où toutes les activités seront planifiées.
  3. Votre directeur informatique et son équipe détailleront également la portée, le processus, les services et les produits à auditer.
  4. Il devra aussi identifier toute la documentation connexe (politiques et procédures).
  5. L’auditeur préparera ensuite une liste préliminaire des personnes à interroger.

D’ailleurs, il est très important de vous assurer que votre audit ne tombe pas au pire moment où vos employés sont submergés par leurs tâches.

2. Préparation

Lorsque le calendrier global est établi, vous pourrez vous pencher sur la préparation de l’audit lui-même. Pour cela, établissez d’abord une liste de choses à préparer :

  • les objectifs de l’audit ;
  • la portée de l’audit comprenant les domaines d’activité à évaluer et le niveau de détail de l’évaluation par l’auditeur ;
  • la façon dont sera documenté l’audit ;
  • un calendrier d’audit détaillé comprenant les services évalués, sur combien de temps, etc.

Chaque membre de l’équipe informatique d’audit se prépare à l’exécution avec un accès à la liste de contrôle de vérification. Celle-ci permet de guider l’auditeur afin de n’oublier aucun détail à évaluer. Gardez cependant à l’esprit qu’une liste de contrôle ne suffit pas à elle seule. Elle guide réellement sur les grandes lignes, mais votre checklist d’audit IT peut être bien plus conséquente, notamment concernant l’analyse des systèmes d’information et les tests d’intrusion.

3. Mener l’audit en 4 phases

Une fois la planification et la préparation effectuées, vous pourrez vous attarder sur l’étape cruciale d’un audit de système réseau. Si les deux étapes précédentes ont été correctement accomplies, la réalisation de l’audit consistera simplement à exécuter le plan créé.

Notez cependant que même les meilleurs plans connaissent leur lot de surprises. Par conséquent, pensez à inclure la recherche de moyens de contourner les obstacles survenant à la dernière minute. Le premier de ces moyens est de prévoir un temps suffisamment large pour ne pas vous retrouver pressé par le temps. Cet état de stress est le meilleur ami d’un audit de système informatique mal réalisé. Ce qui va à l’encontre de votre objectif.

Voici les 4 phases principales pour l’exécution de l’audit de vos systèmes d’information.

1. Mesurer la vulnérabilité du système d’information

La probabilité d’un incident en cybersécurité dépend, entre autres, de la nature de l’application et de la qualité des contrôles. C’est pourquoi la première étape d’un audit de système d’information consiste en l’identification de la vulnérabilité de chaque application, mais aussi de l’infrastructure réseaux.

Le matériel informatique et sa configuration qui garantissent la sécurité des réseaux et systèmes embarqués sont scrutés au peigne fin. L’expert en sécurité vérifie l’infrastructure dans le but de détecter les points vulnérables exploitables par les pirates informatiques.

2. Identification des sources de menace

La majorité des menaces sur le système d’information ont pour origine les hommes et les femmes qui utilisent les systèmes informatiques. Par conséquent, outre le fait de sensibiliser l’ensemble de vos équipes à la sécurité informatique, l’auditeur a pour mission de détecter les personnes susceptibles de constituer une menace informatique :

  • analyste systèmes et réseaux ;
  • développeur et programmeur ;
  • les opérateurs de saisie de données informatiques ;
  • les fournisseurs de données, de matériel, logiciels et services ;
  • les spécialistes en informatique ;
  • l’administrateur système et réseaux ;
  • les utilisateurs, etc.

L’auditeur et le responsable de la gestion des ressources humaines ont donc intérêt de travailler de concert lors pour réussir pleinement un audit de sécurité informatique.

Faites preuve aussi de pédagogie pensant à la formation informatique et à la cybersécurité de vos employés (et pas seulement les services informatiques) pour augmenter leurs compétences techniques. Aidez-les à surveiller (veille technologique) les tendances en termes de sécurité informatique.

3. Identification des points à haut risque

La troisième phase de l’audit de sécurité du réseau informatique et des applications informatiques consiste à identifier les occasions, les points ou évènements par lesquels le système d’information peut être pénétré. Les pentests, tests d’intrusion informatique, doivent être mis à profit lors d’un audit des systèmes d’information afin de mettre à l’épreuve ces points à haut risque.

Ils peuvent d’ailleurs se créer lorsque des transactions sont ajoutées, modifiées ou supprimées.

4. Vérifier les abus informatiques

Les utilisateurs habituels adoptent des comportements routiniers se répétant par cycle. Les employés accèdent aux informations et aux applications durant les heures de travail, avec une volumétrie de transfert de données semblable jour après jour. Une constance est observable chez les utilisateurs réguliers. De là, il est possible de détecter une conduite sortant de l’ordinaire. Les hackers, se faisant passer pour un utilisateur, ont naturellement tendance à user des privilèges du compte utilisateur piraté.

4. Conclusion et suivi

Cette ultime étape est le vrai cœur d’un audit de système d’information. L’équipe d’audit se réunit afin de passer en revue toutes les zones problématiques et formuler des recommandations correctives pour améliorer la sécurité informatique de l’entreprise : sauvegarde des données et amélioration de la protection des données. Toutes ces informations se retrouveront dans un rapport détaillé. Cette synthèse est un document à utiliser pour :

  • établir une nouvelle politique de sécurité IT ;
  • servir de référence pour des audits ultérieurs ;
  • aider à planifier la vérification de l’année suivante.

Il est ensuite possible de créer des rapports individuels pour le responsable informatique ainsi que les responsables de chaque service de votre entreprise. Vous pourrez y souligner les éléments qui ne nécessitent aucune modification tout comme ceux qui méritent d’en avoir au contraire. Récapitulez ensuite, par cause d’origine, les vulnérabilités identifiées par l’auditeur :

  • Les risques de fuite de données causés par un mauvais respect des procédures déjà en place.
  • Les vulnérabilités nouvellement détectées provoquant des failles de sécurité informatique et pour lesquelles il sera nécessaire d’opposer des solutions.
  • Les risques directement liés à la nature du travail exercé. Ceux-ci seront plus difficiles à éliminer, mais leur identification permet néanmoins de chercher des moyens de les atténuer.

Le suivi est par la suite une continuité naturelle si vous souhaitez donner corps à votre audit. Le fait de relever les faiblesses de votre système ne suffit pas, il faut aussi :

  • appliquer les correctifs nécessaires ;
  • établir des politiques de sécurité fiables et faciles à mettre en place ;
  • assurer un suivi avec chaque équipe tout au long de l’année pour vous assurer que tout fonctionne correctement jusqu’au prochain audit.

Pour aller plus loin, découvrez nos clés pour réussir votre audit de sécurité informatique.

 

Je postule

" "