Certes il est fastidieux, mais il est indispensable pour un système informatique : il s’agit évidemment de l’audit de sécurité. Que vous soyez une TPE, une PME ou bien une grande entreprise, aucune structure n’échappe désormais aux menaces de cyberattaques. Pourquoi réaliser un audit ? Quelles sont les étapes à suivre ? On vous dit tout. Et afin d’aller plus loin sur ce sujet précisément, détaillons les certifications de cybersécurité. Elles sont nombreuses !
Pourquoi réaliser un audit de sécurité ?
Un audit de sécurité informatique a pour objectif principal de mettre en évidence le niveau de sécurité d’un système d’information, mais pas seulement. Il permet aussi d’évaluer et de revoir la politique d’accès aux données et aux configurations réseau. Un audit peut être d’ordre organisationnel, analytique ou encore prendre la forme d’un test d’intrusion. Tous sont de toute façon complémentaire.
Les risques auxquels est confrontée une entreprise sont à la fois internes (faible sensibilisation des collaborateurs, malveillance, erreurs…) et externes (virus, phishing…). Garantir la sécurité de l’ensemble du SI est donc crucial. Cela passe par la réalisation d’un audit de sécurité : c’est une démarche préventive qui doit être réalisée régulièrement, à minima une fois par an à des fins d’anticipation et de préparation.
Celui-ci suit 5 grands objectifs :
- l’évaluation de la sécurité informatique du système d’information : l’infrastructure dans son ensemble est passée au crible afin de déceler tous ses points faibles.
- L’identification des risques : une fois les risques déterminés, des technologies adaptées pour s’en protéger sont proposées.
- La sécurisation des données informatiques : l’enjeu principal d’une entreprise, ce sont ses données ! Elle doit en effet mettre tous les moyens en œuvre pour garantir leur disponibilité, leur intégrité et leur confidentialité. Lors d’un audit, l’accès aux données et les mesures anti-violation font l’objet d’une attention particulière.
- La mise à jour des normes de sécurité : l’audit permet le renfort des normes et des politiques de sécurité.
- L’analyse des systèmes informatiques.
L’audit, qui permet d’orienter une stratégie de cybersécurité, fera l’objet à la fin d’un rapport détaillé et de nombreuses préconisations.
Comment réaliser un audit de sécurité ?
Que l’audit se concentre sur les aspects organisationnels, sur les aspects techniques (on parle d’audit en boite blanche) ou qu’il soit un test d’intrusion (on parle d’audit en boite noire ou boite grise), il est nécessaire pour le conduire de faire appel à une entité externe à l’entreprise. Ce peut être un cabinet-conseil d’audit en sécurité informatique ou alors un freelance. L’entreprise bénéficie ainsi d’une expertise et de conseils de qualité.
Travaillez à partir d’un cahier des charges et avancez avec méthode :
- Effectuez un pré-audit pour analyser les mesures déjà en place et vos habitudes telles que la réception et l’ouverture d’e-mails suspects.
- Vérifiez la conformité de votre SI aux normes exigées par la législation.
- Analysez la configuration de votre matériel pour répertorier les équipements informatiques et tous les points d’entrée par lesquels les cyberpirates pourraient s’introduire. C’est à cette étape-là que sont vérifiés les pare-feu, les antivirus, les systèmes de sauvegarde…
- Faites faire un test d’intrusion par un pentester : celui-ci va tenter de pénétrer votre réseau. S’il y parvient, une faille est donc à corriger. C’est la phase la plus importante de votre audit, celle qui révèle concrètement ce qui fonctionne et ce qui ne fonctionne pas.
- Déployez une stratégie de cybersécurité fiable : toutes les actions correctives doivent être clairement notifiées dans un rapport détaillé à l’issue de l’audit. Ces actions ne doivent pas concerner que le matériel, mais aussi les utilisateurs.
Les certifications de la cybersécurité
Le domaine de la cybersécurité fait l’objet de nombreuses certifications. On distingue au niveau mondial deux principales organisations :
- ISC² : fondée en 1988, c’est l’une des plus grandes organisations de sécurité informatique. C’est une association internationale à but non lucratif. ISC² signifie International Information System Security Consortium. Parmi les programmes de certification proposés, retenons ici le CISSP et le CCSP.
- ISACA : fondée en 1969, présente dans 180 pays, ISACA signifie Association pour l’Audit et le Contrôle des Systèmes d’information. Retenons les titres de compétences suivants : le CISA, le CISM et le CSRIC.
Le cadre étant précisé, présentons à présent chacune de ces certifications.
CISSP
CISSP signifie Certificat de Professionnel en Sécurité des Systèmes d’Information. Ce titre a été créé en 1994, c’est le premier de l’ISC², il représente son programme de certification par excellence. L’obtention du CISSP permet de concevoir, mettre en œuvre et gérer un programme de cybersécurité.
Ce titre est complété de 3 sous-catégories :
- Le CISSP-ISSAP : Professionnel de l’Architecture de Sécurité des Systèmes d’Information
- Le CISSP-ISSEP : Ingénieur en Sécurité des Systèmes d’Information
- Le CISSP-ISSMP : Professionnel de la Gestion de la Sécurité des Systèmes d’Information.
Le certificat est valable 3 ans, ce qui signifie qu’au terme de cette période, une nouvelle accréditation doit être obtenue. Il s’adresse aux cadres, aux gestionnaires et aux praticiens tels que le DSI, le RI, l’analyste réseau, l’auditeur de sécurité…
CCSP
Signifiant en anglais Certified Cloud Security Professional, c’est la première certification de sécurité dans le domaine du cloud computing. Créée seulement en 2015 par l’ISC², elle permet de concevoir, sécuriser et gérer les données, les applis et l’infrastructure dans le cloud. Elle est appropriée pour les responsables de la sécurité informatique et de l’information tels que les architectes d’entreprise, les ingénieurs système, les ingénieurs sécurité, etc.
CISA
C’est le Certificat d’Auditeur des Systèmes d’Information de l’ISACA. Cette certification s’adresse particulièrement aux professionnels exerçant des fonctions liées à la gouvernance et à l’audit, comme un responsable d’audit informatique, un RSI, un consultant… Son programme se construit autour de 5 grands thèmes :
- Le processus d’audit des SI
- La gouvernance et la gestion de l’informatique
- L’acquisition, le développement et la mise en œuvre de SI
- L’exploitation, la maintenance et la gestion de services des SI
- La protection des actifs de l’information
Un expert certifié CISA est capable d’évaluer, de contrôler, d’auditer et d’effectuer une surveillance continue des SI.
CISM
C’est le Certificat de Directeur de la Sécurité de l’Information de l’ISACA. Son programme se concentre sur la stratégie de la sécurité et ses objectifs commerciaux et s’adresse aux gestionnaires de la sécurité de l’information. 4 domaines sont abordés :
- La gouvernance de la sécurité de l’information
- La gestion des risques liés à l’information
- L’élaboration et la gestion du programme de sécurité de l’information
- La gestion des incidents
CSRIC
C’est le Certificat de contrôleur des risques et des systèmes d’information de l’ISACA créé pour les RI et RSI, les gestionnaires de projet, les analystes commerciaux, etc. Son programme comprend 4 domaines :
- L’identification des Risques Informatiques
- L’évaluation des Risques Informatiques
- L’Intervention et l’atténuation des risques
- Le contrôle de la surveillance et l’établissement de rapports sur les risques
La certification ISO 27001
Cette certification souligne plusieurs exigences :
- La confidentialité des données
- La disponibilité des données
- L’intégrité des données
- La traçabilité des données
Cette norme ISO n’est pas une obligation. Certains la sollicitent pour tirer profit de ses bonnes pratiques, d’autres pour obtenir un gage de confiance supplémentaire vis-à-vis de leurs clients. Sa mise en œuvre favorise le management de la sécurité des actifs sensibles, comme les données financières, les documents de propriété intellectuelle…
CEH
CEH signifie Certified Ethical Hacker ; c’est une formation créée en 2003 qui permet de se mettre dans la peau d’un hacker, comprendre son état d’esprit pour mieux s’en défendre. Elle s’adresse principalement aux responsables sécurité, aux auditeurs, aux professionnels de la sécurité et aux administrateurs de site. Le programme est basé sur les 5 phases de l’Ethical Hacking : la reconnaissance, l’obtention d’accès, l’énumération, le maintien de l’accès et la disparition des traces.
CHFI
CHFI signifie Certified Hacking Forensic Investigator. Cette formation permet d’identifier les traces laissées lors de l’intrusion dans un SI et de les collecter afin qu’elles constituent des preuves pour les poursuites judiciaires. Elle s’adresse à un large public issu des domaines de la police, l’armée, la banque, les assurances, les organismes gouvernementaux… Il est vivement conseillé d’avoir au préalable validé un CEH avant de prétendre à cette certification.