Il existe plusieurs types d’audits de sécurité informatique : certains concernent des aspects organisationnels, d’autres concernent une analyse technique, d’autres encore sont des tests d’intrusion.
Tous ces aspects sont complémentaires, afin d’analyser au mieux le niveau de sécurité d’une organisation. Dans cet article, nous allons volontairement laisser de côté les aspects organisationnels afin de nous focaliser sur les aspects techniques.
Analyse technique (audit en boite blanche)
Cette approche consiste à évaluer le niveau de cyber-sécurité d’une organisation en analysant les choix d’architecture, les technologies utilisées, les protections mises en place, les détails de configuration ou de code…
Une analyse technique de l’infrastructure informatique nécessitera de se rendre sur place pour constater l’architecture du réseau, examiner les différents périphériques, analyser leur configuration.
Une analyse technique d’un logiciel ou d’une application nécessitera de récupérer le code source, afin de l’examiner en détail.
Tests d’intrusion (audit en boite noire ou boite grise)
Cette approche consiste à lancer des attaques sur une cible informatique, afin de tenter d’exploiter des vulnérabilités. L’auditeur en sécurité informatique qui réalise un test d’intrusion ne dispose pas de toutes les informations techniques concernant la cible de l’audit : il se comporte comme un attaquant externe, dans certains cas, ou comme un utilisateur malveillant, dans d’autres cas.
Un test d’intrusion sur une infrastructure informatique nécessite généralement de se rendre sur place, mais avec un accès restreint au réseau de l’entreprise. L’auditeur peut se comporter comme un simple visiteur, afin de tester la possibilité d’accéder au réseau (Wi-Fi ou filaire). Il peut également se comporter comme un stagiaire, ayant accès à une boite email et à un niveau de droit minimum pour un utilisateur interne.
Un test d’intrusion sur un logiciel ou une application se fait généralement à distance, en ciblant les interfaces publiques (application web, API…) ou en ciblant les interfaces accessibles aux utilisateurs (à partir d’un compte login/password, ou au moins d’un accès à l’interface de connexion s’il s’agit d’un logiciel disponible sur un réseau interne).
Analyse technique ou test d’intrusion : quelle approche choisir ?
Afin de réaliser un audit de sécurité informatique, certaines entreprises doivent faire un choix entre ces deux approches complémentaires, ne serait-ce que pour une question de budget.
L’audit de sécurité en boite blanche présente l’avantage d’être plus complet : l’auditeur en sécurité a accès à un maximum d’informations, ce qui permet d’aller plus loin dans la détection de faiblesses et de vulnérabilités. Le budget est généralement plus élevé que pour un test d’intrusion.
Le test d’intrusion en boite noire ou boite grise présente l’avantage d’identifier des risques très concrets : l’auditeur en sécurité se comporte comme un attaquant externe (dans le cas d’un audit de sécurité en boite noire) ou comme un utilisateur malveillant (dans le cas d’un audit de sécurité en boite grise). Les vulnérabilités identifiées représentent donc des risques réels pour l’entreprise. Le budget varie selon le périmètre et les conditions du test d’intrusion, mais il est généralement moins élevé que pour un audit de sécurité en boite blanche.
Pourquoi conduire un audit de sécurité informatique ?
Plusieurs types de contextes sont propices au fait de conduire un audit de sécurité.
L’audit de sécurité informatique, ou audit de cyber-sécurité, fait partie des bonnes pratiques afin de protéger l’entreprise dans un contexte de cyber-attaques croissantes.
Il est nécessaire pour obtenir certaines certifications dans le domaine de la sécurité de l’information (ISO-27001, PCI-DSS, etc).
Il peut être recommandé suite à un audit qualité, afin de renforcer les processus et la sécurité de l’entreprise. Il est aussi très fortement recommandé suite à une démarche de mise en conformité RGPD.
Il est exigé par un certain nombre de clients ou partenaires grands-comptes, dans les relations en BtoB. Ceci concerne notamment les tests d’intrusion, les grands-comptes pouvant demander qu’un rapport de pentest leur soit fourni.
Enfin, pour une entreprise qui se développe et qui investit, il représente un investissement stratégique pour sécuriser le business. Et pour une entreprise ayant subi une cyber-attaque, il représente la possibilité de faire évoluer le niveau de sécurité afin de se prémunir contre d’autres cyber-attaques.
Comment aller plus loin ?
Conduire un audit de sécurité digne de ce nom nécessite de faire appel à un tiers, pour obtenir un regard externe.
Il existe différents prestataires spécialisés en audit de sécurité informatique. Il s’agit d’un métier à part entière, bien différent des autres métiers de la sécurité informatique. L’expérience et le savoir-faire sont nécessaires pour réaliser un audit de sécurité informatique de qualité.
Afin de préparer la discussion avec un prestataire, vous pouvez rédiger un cahier des charges précisant le contexte de votre besoin ainsi que le périmètre technique et le type d’intervention souhaité. Un cahier des charges précis permettra au prestataire de vous faire rapidement une proposition détaillée.
Cependant, si votre besoin n’est pas encore bien défini, et si vous avez besoin d’échanger sur les différents types d’intervention possibles avant de clarifier votre demande, une première discussion sur vos enjeux de sécurité ainsi que sur les conditions techniques des interventions devrait permettre de faire mûrir le projet. Entre la sécurité des serveurs exposés sur le web, l’analyse de code, la sécurité des réseaux internes, les risques d’attaque par ingénierie sociale, et la nécessité de sensibiliser le Codir, il est possible de mixer plusieurs approches tout en faisant des compromis pour respecter des contraintes de budget.
La société Vaadata, certifiée CREST, est spécialisée en audits de sécurité informatique. Nous accompagnons des PME, ETI et grands-comptes de tous secteurs d’activité. Pour échanger sur vos besoins, connaître nos points forts, obtenir une proposition d’intervention, n’hésitez pas à nous contacter.