Comment réaliser un audit de sécurité informatique ?

13 octobre 2020

Un audit de sécurité informatique permet d’acquérir une vision exhaustive des forces et des faiblesses de la sécurité des systèmes d’information d’une entreprise, et cela à un instant T.

Pour effectuer cet audit, il faut faire appel à un expert en sécurité informatique, appelé dans ce cadre “auditeur”.

L’auditeur va mettre en exergue toutes les vulnérabilités de votre sécurité informatique et de votre sécurité physique (badge d’accès, caméras, routeurs, accès Wifi).

Pourquoi faire un audit de sécurité informatique ?

Auditer son infrastructure informatique permet de remédier à toute brèche pouvant engendrer une intrusion informatique et, dans le pire des cas, une compromission totale ou une fuite de données.

L’audit ne se base pas uniquement sur les failles de sécurité logicielles (CVE) mais également sur les erreurs de configuration et sur le mode d’utilisation de l’outil informatique dans l’entreprise par les collaborateurs.

Rappelons que les erreurs de configurations sont depuis quelques années une source fréquente de piratage. En juillet 2020, un hacker a tenté de rançonner 23 000 bases de données MongoDb suite à une erreur de configuration présente sur l’ensemble des instances.

Cet état des lieux permet de mieux comprendre et d’appréhender le niveau de sécurité global de l’entreprise.

L’audit n’est cependant pas une boîte noire, ce dernier se base sur un référentiel et un périmètre définis.

Dans ces documents, nous retrouvons le plus souvent :

  • Une cartographie du parc informatique et du réseau,
  • Une documentation du fonctionnement des outils développés en interne
  • Le règlement propre à l’entreprise.

L’audit informatique se fait donc sur l’environnement de production et l’environnement de développement, et cela sans aucun impact sur l’activité normale de l’entreprise.

Comprendre l’utilisation de l’outil informatique dans l’entreprise grâce à l’interview

La première étape d’un audit de sécurité est celle de l’interview des équipes.

Ainsi le DSI, le RSSI, les administrateurs système, les développeurs, et plus largement l’ensemble des personnes ayant accès aux systèmes d’information, seront interviewés.

C’est une étape cruciale dans un audit de sécurité informatique car l’humain est souvent la principale faille dans l’entreprise.

Une mauvaise compréhension de la gestion des identités, des sauvegardes ou la mauvaise configuration d’un active directory peut être critique pour l’organisation.

Très souvent un audit de sécurité informatique révèle des failles de sécurité mais également un besoin d’accompagnement et de montée en compétences en cybersécurité des équipes.

Il est donc impératif pour les équipes décisionnaires d’accompagner en amont les équipes interviewées dans le but d’éviter toute frustration et le sentiment d’être jugé.

Si les collaborateurs interviewés opposent une résistance à cet exercice, les résultats seront faussés. Il faut donc bien préparer cette étape préalablement et communiquer auprès des équipes.

Comprendre l’utilisation de l’outil informatique dans l’entreprise grâce à l’interview
Source photo : Freepik.com

Tests d’intrusion et recherche de vulnérabilité

Les tests d’intrusion et la recherche de vulnérabilités sont les étapes principales d’un audit de sécurité informatique.

Ces tests d’intrusion vont permettre de mettre en avant la présence de failles de sécurité, de défauts de configuration ou l’éventuelle présence de logiciels malveillants ou de traces d’intrusions.

Les tests d’intrusion appelés également tests de pénétration ou pentest sont le plus souvent proposés sous trois formats.

Attention : selon la difficulté de l’exercice, le temps d’audit et le coût de ce dernier évolue.

Test de pénétration black box ou boîte noire

Les tests de pénétration en mode boîte noire, signifient que l’auditeur n’a aucune information sur l’infrastructure du client audité.

Seuls le nom de l’entreprise et le domaine du site web de l’entreprise sont partagés avec l’équipe d’audit.

Ainsi ces derniers vont effectuer une phase de reconnaissance appelée “recon”.

L’ensemble des IP rattachées à l’entreprise cible sera scanné et analysé, dans le but de trouver des failles potentielles permettant de s’infiltrer sur le réseau interne de l’entreprise.

Après cette phase de reconnaissance, l’attaquant aura pour but de recueillir des informations sensibles.

Une technique comme celle de l’ingénierie sociale est utilisée pour cibler les employés et déduire le login et le mot de passe d’un responsable informatique par exemple.

Ces informations doivent permettre à cet attaquant d’outrepasser les systèmes de sécurité et, dans le pire des cas, de compromettre l’ensemble du système grâce à une élévation de privilèges par exemple.

L’utilisation d’un test de pénétration en black box reste cependant risquée.

Le consultant s’attaque aux applications web de production, et plus généralement à l’environnement applicatif de l’entreprise ainsi qu’à des environnements en infogérance, donc par analogie aux infrastructures des sous-traitants.

Il faut donc encadrer légalement cet exercice dans le but de ne pas déborder et attaquer un système informatique d’une autre entreprise.

Test de pénétration grey box ou boîte grise

Le test d’intrusion en boite grise simule une fuite d’informations sensibles.

Ainsi des documents internes, des diagrammes de l’infrastructure et un organigramme de la société peuvent être partagés avec l’auditeur.

Le test de pénétration en grey box permet de réduire le nombre de jours d’audit. La phase de reconnaissance est ainsi anticipée et du temps peut être utilisé pour d’autres étapes, comme le fuzzing.

Test de pénétration white box, crystal box ou boîte blanche

Le dernier format d’audit est celui de la boîte blanche appelée également white box ou crystal box.

Dans ce cas, l’équipe d’audit a accès à toutes les informations dont elle a besoin.

Les étapes de reconnaissance et d’authentification sont ainsi simplifiées et l’audit (qui ressemble plus à un audit interne) se focalise sur les vulnérabilités, les failles du système, la protection des données (accès aux données, chiffrement …) ou encore sur l’analyse des risques.

Une revue du code-source peut également être effectuée ainsi qu’un stress test des équipements réseaux (firewall, routeurs, borne wifi) pour se prémunir d’attaques comme une attaque par déni de service (Ddos).

Gardez à l’esprit qu’une intrusion sur le réseau peut se faire aussi bien à distance que physiquement sur les équipements.

Préconisations et conseils

À l’issue de cette mission d’audit, un rapport va être rédigé.

Ce document va pointer les failles de sécurité constatées selon plusieurs indicateurs.

  • Les failles critiques ou critical severity présentent un risque cyber important sur la société et doivent être corrigées immédiatement.
  • Les failles dites de vulnérabilité moyenne ou moderate severity doivent subir des actions correctives à court terme.
  • Les failles dites de vulnérabilité basse ou low severity sont des failles de sécurité pouvant être difficilement exploitées et uniquement dans un cadre particulier.

À terme, une analyse des risques et un plan d’actions correctives vont être suggérés.

Accompagnement à la mise en oeuvre de ces recommandations

La dernière phase de cet audit de sécurité est la phase de conseil.

Mise à jour des serveurs, ajout de règles de filtrage, nouveau mode d’authentification, amélioration du chiffrement des données… L’implémentation des correctifs peut engendrer des coupures de service au sein de la société.

Il est impératif pour une société de se faire accompagner dans cette dernière phase.

Un second audit dédié aux points de corrections pourrait également être lancé.

Bénéficier d'un audit de sécurité informatique

Sébastien GEST

Sébastien GEST

Sébastien Gest, expert en cybersécurité, décrypte les dernières menaces et les tendances du cyberespace.

One thought on “Comment réaliser un audit de sécurité informatique ?

Laisser un commentaire