Audits de sécurité : objectifs, types d'audits et méthodologies

Avec la recrudescence des attaques, réaliser un audit de sécurité informatique n’a jamais été une aussi grande priorité pour les entreprises.

Selon l’ANSSI, les cyberattaques ont augmenté de 400% entre 2020 et 2023, avec 70% qui ont visé des entreprises. En outre, le coût moyen de ces attaques était situé entre 300 000 et 500 000€ pour une PME et d’environ 775 000€ pour les ETI.

Applications web, apps mobiles, APIs, infrastructures cloud, objets connectés, réseaux ou l’humain, rien n’est épargné. De fait, les audits de sécurité sont devenus un outil incontournable pour tous types d’entreprises. Audits techniques, audits de sécurité organisationnel ou audits de conformité, les solutions sont nombreuses pour sécuriser un système d’information et contrer les risques. 

Dans cet article, nous présenterons ces différents types d’audits de sécurité informatique. Nous détaillerons leurs principes et objectifs ainsi que la méthodologie, le déroulement, les évaluations et tests réalisés lors de ces audits.

Guide complet sur les audits de sécurité

En quoi consiste un audit de sécurité informatique ?

Un audit de sécurité est un diagnostic à un instant T de l’état d’un système d’information ou d’une organisation. Il vise à identifier des vulnérabilités et des risques potentiels, ainsi qu’à évaluer les mesures de sécurité afin de proposer des recommandations concrètes pour renforcer la protection des données et des infrastructures contre les menaces externes et internes.

Ces audits sont essentiels pour garantir la disponibilité du système d’information, l’intégrité et la confidentialité des données, autrement dit maitriser les risques. Pour ce faire, tous types d’audits de sécurité doivent s’inscrire dans la durée car le paysage des risques et des règlementations évolue constamment.  

Pourquoi faire un audit de sécurité ?

La multiplication des réglementations, l’augmentation des attaques ainsi que l’omniprésence des systèmes informatiques dans tous secteurs ont fait des audits de sécurité une démarche essentielle.

Ainsi, de nombreux contextes sont propices à la réalisation d’un audit de sécurité :

Un audit de sécurité joue un rôle crucial dans la prévention et la lutte contre les cyberattaques. En effectuant un audit, une entreprise obtient une évaluation approfondie de ses pratiques de sécurité.

Cela permet de détecter les vulnérabilités et les points faibles qui pourraient être exploités par des attaquants. En identifiant ces lacunes, l’organisation peut prendre des mesures correctives pour renforcer ses défenses.

Un audit de sécurité aide également à vérifier que les contrôles de sécurité sont correctement mis en œuvre et fonctionnent efficacement. Cela inclut non seulement les technologies utilisées, mais aussi les processus et les politiques de sécurité.

En assurant que tous ces aspects sont alignés avec les meilleures pratiques et les normes de l’industrie, l’organisation réduit les risques d’erreurs humaines et de failles qui pourraient être exploitées.

Réaliser un audit de sécurité avec Vaadata

Un audit de sécurité est nécessaire pour assurer la conformité aux différentes normes et règlementations comme ISO, SOC 2, NIS 2, DORA, etc.

Nous reviendrons en détail sur les audits de conformité un peu plus loin dans cet article.

Réaliser des audits de sécurité réguliers démontrent qu’une entreprise prend au sérieux la protection de ses données et celles de ses clients. De plus, les clients ou prospects, surtout dans des secteurs sensibles comme la finance ou la santé, sont plus enclins à faire confiance et à choisir une entreprise qui prouve sa capacité à protéger leurs informations.

En effet, lorsqu’une entreprise peut prouver qu’elle a des mesures de sécurité robustes, elle se distingue de ses concurrents. D’ailleurs, la plupart du temps, présenter les résultats d’un audit de sécurité est une condition sine qua none pour signer des contrats avec certaines entreprises (grands comptes notamment).

Enfin, suite à un audit de sécurité et sous certaines conditions, il est possible d’obtenir des certifications qui sont aujourd’hui des atouts précieux dans un marché compétitif.

Le rapport délivré suite à un audit de sécurité permet généralement d’identifier des axes d’amélioration incluant un besoin de formation. En effet, les collaborateurs jouent un rôle essentiel dans la sécurité d’une entreprise. Selon le dernier rapport DBIR de Verizon, 75% des attaques réussies ont comme cause principale une erreur humaine.

Ainsi, la formation et la sensibilisation des collaborateurs à la cybersécurité et ses enjeux est une étape clé suite à un audit de sécurité. Il peut s’agir de formations sur la sécurité des applications web ou sur les sur les risques d’ingénierie sociale, le phishing étant le vecteur d’attaque privilégié.

Quels sont les différents types d’audits de sécurité ?

Il existe plusieurs types d’audits de sécurité informatique, chacun ayant des objectifs et des méthodologies propres. Souvent complémentaires, ils permettent de répondre à différents aspects de la sécurité d’une organisation.

Dans cet article, nous nous attarderons sur les audits de sécurité organisationnels, les audits de conformité et les audits techniques.

Un audit de sécurité organisationnel, comme son nom l’indique, vise à évaluer l’organisation interne d’une entreprise. Ce type audit permet de dresser un état des lieux de la sécurité du SI et d’identifier les risques.

Un audit de sécurité organisationnel peut être conduit de manière régulière pour passer en revue les process de sécurité en place et chercher à les améliorer ou à s’assurer de la fiabilité de ces derniers. L’objectif est également de vérifier le respect des règlementations en vigueur ou les certifications de l’entreprise.

Dans cet optique, il peut être utile de conduire un audit organisationnel tous les ans, spécifiquement pour les détenteurs de certifications de type ISO ou pour vérifier si les process en place sont toujours compatibles avec le RGPD par exemple.

Le déroulement d’un audit organisationnel est modulable à la structure de l’entreprise et à la taille du système à traiter. En effet, il n’aura pas la même ampleur en fonction de la taille de l’entreprise et de la complexité du SI.

Plusieurs aspects sont évalués lors d’un audit de sécurité organisationnel.

Audit de l’organisation d’un point de vue sécurité

D’une part, l’audit se focalise sur l’organisation avec une évaluation des éléments ci-dessous :

  • Le niveau de conformité des process de sécurité mis en place vis-à-vis des règlementations ou des certifications détenues
  • Les politiques de sécurité de l’information
  • La gestion des informations comprenant l’aspect RH et les tiers (fournisseurs)
  • Le contrôle de la sécurité des moyens de communication (protection des infrastructures et des informations sur les réseaux, que ce soit en interne ou avec une entité externe comme un fournisseur ou un partenaire)
  • Les contrôles d’accès mis en place au sein de l’entreprise

Audit de l’organisation sur les aspects techniques

L’autre moitié de l’audit de sécurité concerne la partie technique avec une inspection de plusieurs composantes, notamment :

  • L’inventorisation et de la classification des informations pour détecter les besoins d’amélioration
  • Les processus d’acquisition et de maintien des systèmes d’information
  • La sécurité physique et environnementale du SI (comprenant notamment la sécurité des locaux)
  • La gestion des incidents (principalement ceux liés à la sécurité et l’intégrité de l’information)
  • Le plan de continuité de l’activité en cas d’incident (cyberattaque, catastrophe naturelle)
  • Les mesures cryptographiques en place

Les audits de conformité veillent à évaluer que l’audité respecte bien les normes établies. Dans certains cas, ils peuvent être réalisés avec comme objectif d’obtenir ou de renouveler une certification.

Il existe une multitude de normes et de certifications, certaines s’appliquant à des secteurs d’activité spécifiques. On peut par exemple citer :

RGPD

Le RGPD est une législation européenne qui vise à protéger les données personnelles des individus. Cette dernière (obligatoire) s’applique à toute entité souhaitant résider au sein de l’union européenne ou traitant des données de résidents de l’UE.

Elle inclut le consentement explicite de la collecte des données, la mise en œuvre de mesure de sécurité appropriées et la notification des violations de données.

Normes ISO

Les normes ISO, telles que ISO/IEC 27001 établissent des normes internationales pour la gestion de la sécurité de l’information. Les audits de conformités aux normes ISO évaluent si une organisation respecte les exigences spécifiées par ces certifications.

Cela inclut la mise en place d’un système de gestion de la sécurité de l’information, la gestion des risques de sécurité, la sensibilisation des employés, la mise en place de processus de surveillance et d’amélioration continue, etc.

SOC2

La conformité SOC2 a été créé pour donner aux clients l’assurance que leur fournisseur entreprenne des mesures de sécurité adéquates pour protéger leurs données. La certification SOC2 est notamment considérée comme la référence en matière de sécurité des données de fournisseurs dans le cloud.

Cependant, elle est aussi adaptée à toutes les entreprises fournisseur de services technologiques ou SaaS qui stockent et traitent des données.

NIS 2

NIS 2 (« Network and Information Security 2 », extension de la directive NIS 1) est une directive européenne visant à augmenter le niveau de sécurité des acteurs majeurs de 10 secteurs d’activités stratégiques.

Cette dernière impose notamment de mettre en œuvre des mesures de sécurité pour réduire leur surface d’attaque informatique ainsi que de reporter tout incident de sécurité qui surviendrait à l’ANSSI (Agence Nationale de la Sécurité des Système d’Information) pour les entités françaises.

DORA

Le règlement DORA (Digital Operational Resilience Act) demande entre autres que les entités financières signalent rapidement et de manière exhaustive les incidents majeurs liés aux TIC (Technologies de l’Information et de la Communication) aux autorités de surveillance du marché.

Ce règlement a pour but de renforcer la sécurité et la compétitivité du marché financier européen face à la recrudescence des cyberattaques.

Quelle que soit la norme, l’audit de conformité inclut l’analyse de procédures, documents, et pratiques pour s’assurer qu’ils sont conformes aux exigences établies, ainsi que l’identification des non-conformités et la proposition de mesures correctives.

Un audit de sécurité technique est une évaluation des systèmes informatiques, réseaux, et infrastructures d’une organisation pour identifier les vulnérabilités et les risques de sécurité.

Il implique l’examen des configurations, des logiciels, des politiques de sécurité, et des pratiques de gestion pour assurer la protection contre les menaces et les attaques potentielles, et recommande des améliorations pour renforcer la sécurité.

Pour ce faire, une des méthodes d’audit de sécurité technique consiste à simuler des attaques sur une cible spécifique pour y déceler et exploiter les vulnérabilités. On parle également de tests d’intrusion ou pentest.

De fait, il est possible de réaliser un audit de sécurité sur tous types de cibles. Voyons cela plus en détail.

Audit de sécurité web

L’objectif d’un audit de sécurité web est d’identifier les vulnérabilités techniques et logiques d’un site ou d’une application web afin de les corriger et d’améliorer la protection contre les attaques potentielles.

En effet, un audit de sécurité web inclut la recherche de failles à la fois côté serveur et sur toutes les fonctionnalités avec notamment (liste non exhaustive) :

  • Analyse de la configuration des serveurs
  • Tests d’injections (SQL, XSS, HTLM, etc.)
  • Examen des composants tiers utilisés
  • Vérification des contrôles d’accès

Pour en savoir plus, nous vous renvoyons vers notre article : Test d’intrusion web : objectifs, méthodologie, tests en boite noire, grise et blanche.

Audit de sécurité web

Audits de sécurité mobile

Un audit de sécurité mobile consiste en une analyse statique et dynamique d’une application iOS ou Android pour identifier et corriger les vulnérabilités.

Par ailleurs, les tests d’applications mobiles reposent généralement sur la norme MASVS. Cette norme développée par l’OWASP (Open Web Application Security Project) fournit un cadre pour assurer la sécurité des applications mobiles. Elle est divisée en plusieurs niveaux et catégories de sécurité :

  • Stockage sécurisé des données
  • Fonctionnalités cryptographiques
  • Authentification et gestion de sessions
  • Communications sécurisées
  • Pratiques de développement sécurisées
  • Protection contre le reverse engineering

Pour plus d’informations, vous pouvez consulter notre article : Test d’intrusion d’application mobile : objectifs, méthodologie et périmètre des tests.

Audit de sécurité mobile

Audit de sécurité API

Un audit de sécurité d’API peut être réalisé de manière indépendante ou intégré au périmètre d’un audit de sécurité web ou mobile en prenant en compte les vulnérabilités spécifiques à ce type d’interface.

Quel que soit le type d’API (REST, GraphQL, etc.), des tests sont réalisés sur les fonctionnalités ainsi que sur l’infrastructure d’hébergement.

Pour plus d’informations, nous vous renvoyons vers notre article : Pentest API : objectifs, méthodologie, tests en boite noire, grise et blanche.

Audit du réseau interne

Un audit de réseau interne consiste à évaluer la sécurité d’un réseau du point de vue d’un attaquant ayant réussi à y pénétrer.

Les tests incluent notamment l’analyse des serveurs, des équipements réseau, des postes de travail, du Wi-Fi, de l’Active Directory, et d’autres composants critiques.

Pour plus d’informations, vous pouvez consulter notre article : Test d’intrusion interne : objectifs, méthodologie, tests en boite noire et grise.

Audits de sécurité IoT

L’objectif d’un audit de sécurité IoT est de détecter les failles présentes sur les différentes couches de ce dernier dans le but de sécuriser l’ensemble de l’environnement de l’objet connecté.

Ainsi, les tests peuvent couvrir à la fois :

  • Le hardware : reverse engineering, dumps de mémoire, etc.
  • Le firmware : analyse des ports ouverts, analyse cryptographique, etc.
  • Les protocoles de communications : écoute des échanges, dénis de service, etc.
  • Les services associés : interfaces web ou mobiles, APIs, etc.

Conditions techniques d’un audit de sécurité

Lors d’un audit de sécurité technique, on peut distinguer 3 approches spécifiques. Ces dernières, qui peuvent être couplées, correspondent à différent niveau d’informations fournies aux auditeurs pour réaliser les tests.

L’approche en boite noire est la plus proche d’une attaque externe. Cette dernière désigne un audit sur lequel aucune indication n’est donnée aux auditeurs pour réaliser les tests.

Pour plus de détails sur ce type d’audit, vous pouvez consulter notre article : Pentest Black Box : objectifs, méthodologie de tests et use cases.

L’audit en boite blanche est le total inverse de l’audit en boite noire. Ici, beaucoup d’informations sont délivrées aux auditeurs : code source, comptes admin, etc.

Cette approche permet de détecter les failles qui ne seraient pas nécessairement évidente à trouver sans une connaissance approfondie du système cible.

Si vous souhaitez en savoir plus, nous vous renvoyons vers notre article : Pentest White Box : objectifs, méthodologie de tests et use cases.

Le test en boite grise est un entre deux entre l’approche boite noire et l’approche boite blanche. En effet, dans ce cas de figure, quelques informations sont fournies aux auditeurs en fonction de l’objectif et de la cible testée.

Cette approche a pour objectif de simuler une situation dans laquelle un attaquant aurait déjà réussi à se procurer un compte possédant des droits restreints, à accéder à une plateforme non publique, etc.