Passer au contenu

2. Réussir la phase de mise en ?”uvre : des méthodes pour remédier à la vulnérabilité

Un audit formel commence par une analyse de l’organisation et se termine par des recommandations. Entre les deux, un projet parfois long et complexe et qui implique toute l’entreprise.

L’audit est avant tout une méthode appliquée par des hommes. Idéalement, la standardisation de l’une vient compenser la diversité des seconds. C’est d’ailleurs pour cela que les méthodes sont fortement formalisées : toutes visent à analyser objectivement le risque informatique et à identifier les axes de sécurisation nécessaires. À l’opposé, la souplesse du consultant doit permettre d’adapter la méthode à l’environnement spécifique de l’entreprise auditée. L’ensemble doit déboucher sur une vision globale, standardisée et pourtant spécifique du système d’information de l’entreprise, permettant de déterminer les risques encourus par les éléments cri- tiques du système.

Analyser les procédures de reprise sur incident

Il s’agit là d’apporter une vision organisationnelle qui, bien sûr, dépasse souvent le cadre strictement technique de la sécurité informatique. “La sécurité, c’est aussi analyser quelles sont les procédures de reprise sur incident, ou d’escalade en cas de reprise impossible. De même que les plans de secours ou encore les approches légales telle la possibilité de faire constater rapidement une intrusion par un huissier. Tout cela ne relève pas de la technique et est donc moins visible. Mais c’est une part importante d’un bon audit de sécurité organisationnel” confirme Fréderic Préto, directeur général et technique de la société Linkware.Dans la pratique, l’audit organisationnel de sécurité commence donc par une méthode (lire page suivante). Trois d’entre elles se sont imposées comme standards de fait en France : Méhari et Marion (créées par le Clusif, le Club de la sécurité informatique français) et Mélisa (créée dans le cadre de la Direction générale de l’armement, puis reprise par CF6).D’autres méthodes existent, mais sont utilisées moins souvent sur le marché français (telle la méthode américaine Cobit, qui ne prend pas en compte l’analyse du risque, ou la méthode anglaise CRAMM, dont la popularité semble croissante). Quelle que soit la méthode choisie, l’objectif reste le même : hiérarchiser les risques et identifier les moyens à mettre en ?”uvre pour les parer.

Se concerter pour évaluer les différents niveaux de gravité

L’audit commence généralement par une concertation entre l’équipe de consultants et l’entreprise. Il s’agit de déterminer le périmètre de l’étude et de se mettre d’accord sur les différents niveaux de gravité spécifiques (d’acceptable à intolérable), afin que les consultants et les clients parlent le même langage : “Il est important de qualifier l’impact des vulnérabilités. Toutes ne sont pas critiques pour le système d’information. C’est pourquoi, il est nécessaire d’avoir une échelle de valeurs, afin de ne pas livrer les données en vrac”commente Jean-Philippe Isckia, responsable de l’activité audit chez CF6.Cette rencontre doit également permettre d’identifier les interlocuteurs officiels au sein de l’entreprise, qui devra les avoir clairement désignés. Enfin, en amont de cette première rencontre, le consultant aura généralement affiné ses questionnaires pour les rendre les plus pertinents possible face à l’activité de l’entreprise.L’audit peut durer ensuite entre un et deux mois. Les auditeurs s’efforcent tout d’abord de mesurer l’existant : politique de sécurité et pratiques courantes, habitudes, etc., tout y passe et est enregistré sous forme de réponses aux questions dictées par la méthode. Ces réponses, les auditeurs ne vont pas les chercher eux-mêmes mais les obtiennent auprès des collaborateurs concernés. “Si nous faisions nous-mêmes les mesures, les audits prendraient le double de temps et ça ne serait rentable pour personne”poursuit Jean-Philippe Isckia.

Les recommandations doivent être génériques

À l’issue de cette phase de recueil d’informations, le moteur d’analyse de la méthode est capable d’identifier les failles, les impasses et les aberrations du système d’information existant. Mais l’audit est loin d’être terminé, l’étape suivante consiste à effectuer des propositions afin d’amener la sécurité du système d’information au niveau voulu. Cela se fait grâce à des parades techniques ou organisationnelles, suggérées point par point par la méthode et adaptées par le consultant. Cette procédure implique de structurer ces parades en un plan concret de mise à niveau. C’est là que l’expertise et la plus-value apportées par le consultant seront les plus visibles, et qu’il pourra faire gagner du temps à l’entreprise. Les recommandations ne devront toutefois pas dépendre d’un fournisseur particulier : “Pour être valable, un audit doit bien sûr déboucher sur un plan d’action. Mais ces recommandations doivent être génériques, et à même d’être mises en ?”uvre par n’importe qui. Un bon auditeur est indépendant des fournisseurs “, précise Stéphane Laurentin, RSSI de la société Cashware.À ce point de l’audit organisationnel, des sous-ensembles du système d’information sont alors identifiés et peuvent, le cas échéant, mériter un audit technique poussé. Celui-ci donnera alors toute la mesure de son utilité, en concentrant toute l’attention des testeurs sur quelques failles critiques à combler.Reste ensuite à suivre l’application du plan préconisé, ce qui, selon Frédéric Prétot, de Linkware, est une tâche souvent frustrante pour l’auditeur : “Si la recommandation de l’audit est de mettre à jour tel ou tel serveur, par exemple, cela pourra être fait rapidement. Mais les recommandations fonctionnelles ou organisationnelles sont généralement ignorées, et les mêmes problèmes structurels seront présents lors de l’audit suivant “. Un audit suivant qui fait généralement office de contrôle, de “piqûre de rappel” ou, dans le meilleur des cas, d’actualisation des recommandations, permet de suivre l’évolution technique ou fonctionnelle de la plate-forme auditée. Enfin, c’est entre ces deux audits que les prestations plus techniques et ponctuelles que sont les tests d’intrusion ou les scans de vulnérabilité automatisés trouvent leur place. Leur rôle est alors de diminuer la fenêtre d’exposition du système d’information entre deux audits, puisque l’état de sécurisation d’un système n’est jamais figé, mais bien mouvant, tendant le plus souvent vers l’insécurité au fil du temps… du moins en attendant les réseaux autonomes et intelligents !

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jérôme Saiz