RÉSUMÉ

La sécurité des systèmes d'information est, depuis toujours, un élément clé de la survie de l'entreprise. L'audit permet l'amélioration continue du système informatique.

L'audit de sécurité doit vérifier que les phases amont sont bien implémentées en vue d'émettre les recommandations nécessaires pour la correction des vulnérabilités découvertes. Cet article présente les principales approches et outils utilisés lors des audits de sécurité techniques, que ce soit aux niveaux système, réseau ou applicatif.

INTRODUCTION

"La sécurité des systèmes d'information (SSI) est l'ensemble des moyens techniques, organisationnels, juridiques et humains, nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d'information." (source : Wikipédia).

Les trois bases essentielles de la sécurité des systèmes d'information sont :

• l'intégrité : les données doivent être celles initialement déclarées, et ne doivent pas être altérées de façon fortuite ou volontaire ;
• la confidentialité : la propriété qu'une information n'est, ni disponible, ni divulguée aux personnes, entités ou processus non autorisés ;
• la disponibilité : le système doit fonctionner sans défaillance durant les plages d'utilisation prévues, garantir l'accès aux services et ressources installées avec le temps de réponse attendu.

La sécurité des systèmes d'information est, depuis toujours, un élément clé de la survie de l'entreprise. Mais, ce n'est que depuis quelques années qu'une prise de conscience est apparue, du fait probablement d'événements médiatiques majeurs ayant impacté les activités de quelques multinationales ou États.

L'année 2011 a été particulièrement riche en événements marquants - Exemples

Nous pouvons citer Sony qui n'a pu empêcher la compromission de millions de comptes de ses clients, ainsi que la perte de son service Playstation Network durant plusieurs mois, à cause d'erreurs majeures dans ses procédures de sécurité opérationnelle. Cela, combiné à une forte arrogance, a mené au naufrage de certains de ses services, avec des pertes estimées à plusieurs dizaines de millions de dollars.

Voir cet article pour plus d'informations : https://fr.wikipedia.org/wiki/Piratage_du_PlayStation_Network

Les sociétés dont le métier est la sécurité informatique ne sont pas non plus épargnées, comme l'atteste la compromission des réseaux internes de la société RSA où, malheureusement, les attaquants n'ont utilisé que des techniques et outils classiques (comprendre disponibles sur Internet et utilisables donc par n'importe qui sans requérir de compétences pointues).

Les États ne sont pas en reste avec un exemple, parmi tant d'autres, comme la compromission du réseau du ministère des Finances et de l'Industrie française découvert en début d'année 2011.

De la même manière, les organismes étatiques, qui se sont engagés dans la voie de l'informatique offensive depuis de nombreuses années, n'hésitent plus à l'avouer publiquement, comme cela a été le cas de l'Administration américaine vis-à-vis du développement d'armes informatiques (cf. les vers informatiques Stuxnet, Duqu et Flame qui ne sont vraisemblablement que la partie visible de l'iceberg).

En juin 2012, près de 6 millions de comptes utilisateurs du réseau social LinkedIn ont été compromis, ce qui dénote que personne n'est à l'abri. Mais, le fait a aussi pu mettre en lumière des lacunes majeures sur les mécanismes de sécurité mis en œuvre par la société en question. Ce n'est pas parce que la visibilité d'une entreprise est importante, et que peu d'incidents de sécurité ont été rendus publics, que les mécanismes de sécurité sont robustes !

Tout le monde est potentiellement une cible, pour peu bien entendu que vos infrastructures, vos données ou votre image de marque, présentent un intérêt pour des personnes ou organisations malveillantes. Dans ce contexte d'insécurité, où toute faille de sécurité peut être exploitée, et donc impacter l'activité de l'entreprise ciblée, il s'agit alors de réduire les risques autant que possible. Le risque « zéro » n'existant pas par nature, du moment que l'on prend certaines hypothèses (entreprise multinationale par exemple), le but est alors d'identifier ses biens et d'évaluer leur exposition à ces risques afin de sélectionner les mesures de réduction, ou de couverture, du risque les plus adéquates.

Enfin, les futures législations européennes relatives à la protection des données personnelles prévoient des sanctions financières aux contrevenants (les entreprises dont des données clientes seraient compromises) avec « une amende égale à 5 % du chiffre d'affaires mondial ». Du même acabit, les failles de sécurité relatives à la compromission de données personnelles devront aussi donner lieu à une notification officielle vers les victimes et les autorités.

Si cela n'est pas déjà fait, ces nouveaux éléments vont fortement inciter les entreprises à engager des moyens conséquents pour assurer leur niveau de sécurité.

La sécurité est certes l'affaire de tous, mais elle est aussi, et surtout, une question de politique d'entreprise et de moyens dédiés à cet effet. L'expertise du prestataire informatique est fondamentale. Nous sommes à votre disposition pour toute information complémentaire.