Veuillez entrer au moins trois caractères pour la recherche

Comment sécuriser son système d’information si l’on ne dispose pas d’une photographie détaillée de son fonctionnement, à la fois d’un point de vue technique et organisationnel ? C’est là tout l’enjeu d’un audit SI : pouvoir disposer d’un état des lieux du fonctionnement de son SI et de ses éventuelles vulnérabilités afin d’élever son niveau de sécurité.

L’état d’un système d’information est loin d’être une question purement technique. Les activités et les processus étant aujourd’hui fortement digitalisés, un système d’information mal connu ou dysfonctionnel peut nuire au fonctionnement, à la réputation ou encore aux résultats d’une entreprise.

À l’inverse, les entreprises qui prennent le temps d’auditer ou de faire auditer leur SI en acquièrent une meilleure connaissance. Elles sont ainsi capables de diagnostiquer et de corriger plus rapidement d’éventuels problèmes, sans affecter leurs activités. Voici un aperçu des principaux éléments à connaître au sujet de l’audit SI.

Qu’est-ce qu’un audit SI ?

L’audit d’un système d’information identifie d’éventuelles vulnérabilités afin d’élever le niveau de sécurité du SI.

Un audit SI est une étude approfondie du fonctionnement d’un système d’information afin de gagner en visibilité, d’établir un diagnostic, et de s’assurer du niveau de sécurité de ce SI. Cet audit peut analyser à la fois la fiabilité, la disponibilité, les performances, la conformité et la sécurité du SI.

L’audit IT peut porter sur l’ensemble du système d’information, ou sur des points spécifiques :

  • Audit d’architecture,
  • Audit de configuration,
  • Audit de code source,
  • Test d’intrusion (pentest),
  • Audit organisationnel et physique,
  • Etc.

Quel est l’objectif d’un audit SI ?

Pour l’ANSSI, un audit SI permet « de mettre en évidence les forces mais surtout les faiblesses et les vulnérabilités du système d’information ». Les conclusions de l’audit déterminent des axes d’amélioration et proposent des recommandations, toujours dans l’objectif d’élever son niveau de sécurité.

L’objectif étant d’avoir un avis extérieur sur son système d’information, il est recommandé de faire réaliser cette étude par un expert externe (cabinet d’audit, consultant, etc.).

Quand réaliser l’audit de son système d’information ?

Certaines entreprises lancent l’audit de leur système d’information en réponse à un incident de sécurité. Elles espèrent ainsi retrouver les causes de cet incident, qui peuvent être d’origine technologique et/ou organisationnelle. Cependant, mieux vaut ne pas attendre d’avoir à subir un incident pour faire un état de lieux de son SI.

Dans d’autres cas, les entreprises lancent l’audit de leur système d’information dans le cadre d’une transformation importante à mener, avec un impact sur le SI. L’audit leur permet alors de déterminer si le fonctionnement actuel de leur SI leur permet bien de supporter cette transformation. Si ce n’est pas le cas, l’audit détermine alors quels sont les éventuels problèmes à résoudre et les grandes étapes à suivre pour faire concorder le projet avec le SI.

SecNumCloud : label de confiance

Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.

Enfin, la réalisation d’un audit de sécurité informatique peut être obligatoire pour certaines organisations soumises à des réglementations spécifiques.

Comment auditer un SI ? Les grandes étapes

Un audit SI se décompose en différentes étapes successives.

1. Cadrage de l’audit informatique

L’auditeur et l’entreprise définissent ensemble la nature, le périmètre et les objectifs de l’audit IT, adaptés au contexte de l’entreprise.

2. Planification, préparation, collecte de données

L’auditeur élabore son plan d’audit détaillé. Il commence à recueillir des informations relatives à l’infrastructure, aux politiques et aux procédures en place.

3. Analyse et audit du système d’information

Le prestataire réalise l’audit à proprement parler en utilisant les méthodes appropriées. Il documente ses constats et assure la traçabilité des actions effectuées.

4. Rédaction d’un rapport d’audit et présentation au client

L’auditeur élabore un rapport d’audit, décrivant de manière détaillée et structurée ses constats et les recommandations permettant de remédier aux faiblesses identifiées. Il les présente à l’entreprise cliente lors d’une restitution.

5. Mise en place des recommandations de l’audit et suivi

Enfin, l’entreprise applique les recommandations qui lui ont été faites. L’audit d’un SI ne sera pleinement efficace que si les préconisations sont suivies dans le temps.

Les bonnes pratiques pour réussir un audit SI

Choisir un prestataire de confiance

L’ANSSI recommande de sélectionner un prestataire qualifié PASSI (prestataire d’audit de la sécurité des systèmes d’information), notamment pour les organisations soumises à des obligations réglementaires. L’entreprise à l’initiative de l’audit doit s’assurer que l’équipe sélectionnée dispose des compétences requises pour le périmètre à auditer.

Suivre des conseils méthodologiques

D’un point de vue méthodologique, il est recommandé notamment de :

  • Combiner plusieurs types d’audits complémentaires (audit d’architecture et audit de configuration, par exemple) plutôt qu’un seul.
  • Privilégier les tests d’intrusion sur un environnement de pré-production.
  • Réaliser les audits de configuration et d’architecture sur l’environnement de production.
  • Effectuer des sauvegardes préalables des systèmes.
  • Documenter et tracer l’ensemble des actions effectuées.
  • Conserver les preuves des vulnérabilités identifiées.

Soigner la collaboration avec le prestataire chargé de l’audit

L’audit d’un SI est généralement une mission externalisée. Afin de maintenir la qualité de la relation entre l’entreprise commanditaire et son prestataire, il est recommandé de mettre en place des moyens de communication dédiés et sécurisés.

L’auditeur doit être informé des actions réalisées sur le système durant l’audit. De son côté, il est tenu de notifier rapidement les vulnérabilités critiques découvertes. Des points réguliers sur l’avancement de la mission permettent de maintenir le lien durant la durée de l’audit.

Entrer dans une démarche d’amélioration continue

L’audit de sécurité informatique à lui tout seul n’est pas suffisant pour sécuriser son SI, encore faut-il appliquer concrètement les recommandations et préconisations du rapport d’audit. Il peut être judicieux de planifier un audit de contrôle afin de vérifier la bonne mise en œuvre des recommandations.

Enrichir la cartographie de son SI, mettre à jour son analyse de risques ou encore ajuster sa politique de sécurité du système d’information sont autant d’étapes indispensables pour maintenir une dynamique d’amélioration continue.

Les éléments à retenir sur l’audit du SI

  • L’audit SI évalue la sécurité et la conformité d’un système d’information.
  • Réaliser un audit de système d’information est une démarche structurée en différentes étapes, depuis le cadrage de l’audit jusqu’à la restitution des vulnérabilités identifiées et des préconisations pour les corriger.
  • Il est recommandé de faire auditer son SI à intervalles réguliers afin de disposer d’une version toujours son patrimoine IT et de son état de fonctionnement.
  • L’audit des systèmes d’information n’est pas une fin en soi. Appliquer les recommandations de l’audit et suivre leur efficacité dans le temps constituent des démarches tout aussi importantes.