Afin de connaitre le niveau de sécurité d’un fournisseur, d’une application ou même d’une infrastructure, le client peut demander un audit de sécurité. Cet audit est réalisé par des experts impartiaux dans le but d’obtenir un avis objectif du niveau de sécurité.
Les prérequis à ne pas négliger
Demander la réalisation d’un audit ne s’improvise pas. Le mandataire de l’audit doit réaliser certains prérequis afin de vérifier s’il a le droit de réaliser l’audit, de déterminer quelle équipe pourra le réaliser et d’uniformiser les livrables fournis par les équipes d’audit. Cela demande un travail de préparation, qui commence par s’assurer que l’audit est réalisable, en vérifiant les conditions d’exécution de l’audit dans les clauses de contrat et en respectant les étapes indiquées telles que décrites, s’il s’agit d’une prestation externalisée.
Ensuite, il doit identifier le meilleur moment pour sa réalisation : avant la mise en production d’une application par exemple, afin de pouvoir corriger les failles critiques. Après quoi, il doit mandater une équipe d’audit qualifiée en cohérence avec le type d’audit demandé et les caractéristiques de l’actif à auditer. Enfin, pour que les résultats de l’audit soient uniformes et cohérents entre équipes d’audit et types d’audit réalisés, il doit penser à créer et à mettre à disposition sa propre matrice de risque. Une fois l’ensemble des prérequis réalisés et les contacts pris, il peut enfin planifier la réunion de cadrage, qui marque le point de départ de l’audit.
La réunion de cadrage
La réunion de cadrage sert, comme son nom l’indique, à donner le cadre de l’audit. L’objectif de cette réunion est de rappeler le contexte et l’objectif de l’audit ainsi que les moyens pour le réaliser. Elle réunit l’ensemble des parties prenantes de l’audit : le mandataire, le métier, l’IT, l’auditeur, l’audité (responsable de l’application, de la prestation….) et toute personne identifiée comme nécessaire pour la bonne réalisation de l’audit. Le mandataire, qui est généralement un représentant de l’équipe sécurité, fait le lien entre les différents acteurs et définit les contraintes de l’audit (nombre de jour, type d’audit…).
Lors de cette réunion, le métier peut préciser ses attentes vis à vis de l’audit et peut indiquer des points clefs à vérifier, car il a des doutes sur des composants ou il a fait face à des incidents. L’audité peut présenter le fonctionnement de l’application ou de la prestation et informe des prérequis techniques pour la réalisation de l’audit (conditions d’accès, URL des applications). Cette réunion permet de donner l’ensemble des informations utiles aux auditeurs afin de pourvoir réaliser l’audit le moment venu et permet de prévenir un éventuel point de blocage que l’auditeur pourrait rencontrer lors de l’audit.
La réunion de restitution
Cette réunion permet de restituer les résultats de l’audit aux différentes parties prenantes de l’audit. Je conseille de présenter les résultats par une approche basée sur les risques et de contextualiser chacune des vulnérabilités qui sont présentées. L’auditeur peut partir d’un scenario de risque simple, réaliste et en adéquation avec le métier (ex: un collaborateur clique sur un mail contenant du code malicieux), il énumère les vulnérabilités trouvées lors de l’audit qui pourraient être exploitées via ce scenario, par ordre décroissant de criticité (ex: version de l’OS non maintenue), puis il indique les probables impacts métiers en cas d’exploitation de ces vulnérabilités (chiffrement des données, indisponibilité des applications) et enfin il identifie les mesures à mettre en œuvre. Cela évite d’énumérer les vulnérabilités techniques qui ne parlent qu’aux techniciens et qui sont détachées de toute réalité métier.
La réunion se termine si l’ensemble des acteurs valident les résultats de l’audit et s’accordent sur la date d’une prochaine de réunion de suivie qui aura pour but de valider le plan de remédiation et de suivre les plans d’actions.
