Le cabinet informatique du littoral breton

Le cabinet informatique du littoral breton

Dépannage, Formation, Audit, Cybersécurité, Web

Du lundi au vendredi de 9.30 à 18.30
Le samedi de 9.30 à 13.30
Intervention en HNO si urgence avérée

Protocole appliqué pour un audit de sécurité Informatique

Ce protocole fixe les différentes étapes d’un audit de sécurité informatique

Il est par nature générique et il est adapté à chaque entreprise

Les buts de tout audit sont les suivants :

– s’assurer de la prise en compte de la sécurité (appropriation)

– s’assurer de la connaissance de l’environnement numérique

– confirmer l’existence d’un inventaire exhaustif de l’environnement numérique de l’entreprise [l’environnement numérique est constitué de l’ensemble des équipements et terminaux en réseau connectés à Internet et/ou à un réseau d’entreprise, qui contribuent à l’activité ou qui en assurent la sécurité (si tous sont interconnectés). Cela inclut également les comptes de messagerie, les navigateurs, les comptes des sites qui contribuent à la réputation de l’entreprise (compte de réseaux sociaux), et ceux qui permettent les commandes aux fournisseurs]

– s’assurer que les mesures de précautions physiques et techniques élémentaires sont implémentées 

– s’assurer de l’existence d’une sécurisation des flux numériques

– vérifier qu’il existe une gestion des configurations et de la maintenance

– s’assurer que les dispositions pour la protection des données de l’entreprise sont effectives

– s’assurer que les dispositions légales concernant la protection des données clients sont respectées

– s’assurer de la présence d’une documentation pertinente (mode d’emplois, politiques, réglementations, plan de continuité…)

– vérifier le niveau de formation et de responsabilisation du personnel

– s’assurer de la présence d’un plan de continuité.

Ces vérifications permettent d’établir un rapport qui présente : les éléments contrôlés, les actions immédiates à conduire et les points de sécurité à renforcer à courts et moyens termes

L’audit n’inclut pas la mise en place de mesures correctives, sauf si un risque majeur lié à un défaut de sécurité a été détecté. Dans ce cas l’autorisation de mise en œuvre est demandée aux responsables de l’entreprise (mise en œuvre assurée par l’équipe informatique de l’entreprise).

C’est à l’entreprise, à partir du rapport d’audit, de décider par la suite des mesures à prendre et des corrections à apporter

Confidentialité : Intechs.fr s’engage à ne rien divulguer de l’audit et à n’en conserver aucun résultat. Le rapport d’audit reste exclusivement propriété de l’entreprise.

Délais – déroulement

Un audit demande une préparation qui doit commencer au moins 15 jours avant l’échéance.
L’audit lui même a une durée variable entre un et quatre jours, fonction de l’activité et de l’importance de l’entreprise.

Outils et méthodes utilisés

L’audit technique est conduit directement sur les terminaux (ordinateurs, tablettes, téléphones, serveurs) de l’entreprise à l’aide d’un compte d’utilisateur pour accéder aux informations nécessaires. Le compte d’utilisateur doit être dédié à Intechs.fr pour permettre la traçabilité de ses actions. Aucune modification n’est effectuée, toutes les opérations sont des consultations ou des requêtes non modifiantes.

En ce qui concerne les paramétrages d’administration, les procédures de secours et de sauvegarde, c’est  l’équipe de maintenance informatique qui doit fournir en amont les renseignements et les captures d’écran requises pour l’analyse. Les demandes se font via un des formulaires de préparation de l’audit.

Aucun logiciel n’est installé sur un quelconque terminal ou équipement de l’entreprise auditée. Aucun test d’attaque n’est réalisé (par ex. tentative de pénétration de réseau…) n’est réalisé.

L’audit sur les procédures, la formation et les bonnes pratiques se fait par le renseignement d’un formulaire par chaque membre de l’entreprise. Un formulaire supplémentaire est dédié aux membres de la direction ainsi qu’au responsable de la maintenance informatique.

Première étape : préparation de l’audit

La préparation a pour but de définir le périmètre du contrôle et de mieux prendre connaissance de l’entreprise et de son environnement physique (gestion : de l’intrusion, du risque d’incendie et d’inondation, des intempéries en général, de destruction d’un ou plusieurs locaux…) et numérique. Tous les moyens connus sont répertoriés, une liste des utilisateurs est établie.

L’équipe dirigeante de l’entreprise et tout autre personnel de son choix, doit définir une liste des risques à prendre en compte par priorité à partir d’une liste type fournie par Intechs.fr. L’équipe de l’entreprise a toute latitude pour enrichir la liste à sa guise. Les flux numériques échangés sont identifiés : flux avec les fournisseurs, les équipes de maintenance, le personnel (cette liste pourra être enrichie à tout moment pendant l’audit).

Le niveau de résilience souhaité doit être clairement défini.

Un ou deux « Correspondants Audit (CA)» sont identifiés. Ces correspondants doivent pouvoir donner ou faciliter tous les accès nécessaires et prendre des décisions sur des mesures correctives à conduire sous brefs délais.

Seconde étape, la signature du protocole d’audit

Tous ces éléments sont compilés et permettront d’établir le programme de l’audit, ce qui permet d’affiner avec l’entreprise les dates précises auxquelles il doit être effectué. Les dates de l’audit étant fixées, le contrat, la clause de confidentialité et l’autorisation d’audit sont validés et signés par les deux parties (soit en tout début de l’audit soit par échange de courrier numérique). A ce stade, l’entreprise doit avoir préparé un programme de l’audit (quelle activité, où, avec qui et dans quelle fenêtre horaire).

Troisième étape : la réalisation de l’audit

Le personnel de l’entreprise doit être explicitement informé en amont des objectifs de l’audit, de sa teneur et de qui le conduit.

L’audit est réalisé par constat direct ou grâce à la fourniture de renseignements par l’équipe informatique de l’entreprise : équipements réseaux (routeurs d’accès à Internet et pare-feux, switchs…), serveurs, terminaux, tout équipement communiquant ayant accès au réseau y compris les téléphones), les objets connectés.
Les systèmes d’exploitation, les navigateurs et les logiciels de sécurité sont partie intégrante du contrôle (paramétrages, versions logicielles, fichiers logs)

Des analyses sont conduites sur le ou les réseaux (optionnel)

Les mêmes actions de contrôles sont effectuées sur le paramétrages des comptes de réseau sociaux. Il peuvent être conduit sur les accès au ou aux sites WEB (s’ils existent et si le client le demande).

La documentation présente, les connaissances des usagers du réseau de la politique de sécurité et des règles édictées ainsi que le respect des obligations légales (RGPD) sont également vérifiés.
Actions immédiates éventuelles : si des failles graves sont découvertes, elles sont immédiatement signalées, mais elles ne sont corrigées qu’avec l’autorisation expresse d’un CA (correspondant audit), par l’équipe informatique de l’entreprise.

Quatrième étape : le rapport d’audit

Le rapport est retourné au maximum dans les dix jours suivant l’audit, étant entendu que tous les éléments urgents auront été signalés aux CA présents.
Le rapport comporte :
– un état des lieux de l’environnement numérique de l’entrerpise
– une évaluation suivant des thématiques qui prennent en compte les risques qui ont été définis par l’équipe dirigeante de l’entreprise (en sus de celles traitées obligatoirement), il intègre des préconisations.
Les thématiques sont appréciées par des codes couleurs :

Vert : tout est en place, effort à continuer,
Jaune : Acceptable, légères améliorations à prévoir,
Orange : Moyenne ou hétérogène, besoin d’action suivi,
Rouge : Plusieurs failles ou défaillances claires,
Noir : Risque critique ou faille majeure.
Au choix de l’entreprise, le rapport est simplement envoyé ou mais il peut être présenté en séance (recommandé).

Étapes ultérieures (entreprise) : les suites à donner

Les suites à donner au rapport sont à définir par l’équipe dirigeante de l’entreprise, comme :

– la formation du personnel

– la mise en place d’équipement de sécurité complémentaires

– la mise en place de procédures supplémentaires (contrôles à échéance, tests, sauvegardes, archivages, mises à jour logicielles régulières…)

– l’établissement d’une charte des usagers du réseau

– la mise en place ou complétion d’un plan de continuité
Tous ces éléments doivent être complétés par la mise en place ou l’adaptation de la politique de sécurité de l’entreprise.

Nota : Une appréciation de situation est demandée à l’entreprise dans le mois suivant l’audit.