Pour mesurer le niveau de sécurité de son système d’informations, trouver les vulnérabilités existantes et diminuer ses risques, une entreprise doit mettre en œuvre un plan d’audits annuel et le suivre. Les objectifs de ce plan sont d’évaluer la robustesse d’un système d’information par rapport à un niveau d’attaque, et de sensibiliser les acteurs de l’entreprise : l’utilisateur final bien sûr, mais surtout le management, qui alloue les budgets au regard des risques pesant sur son entreprise. Le plan d’audit doit contenir au minimum et par ordre d’importance : un test d’intrusion externe, un test de social engineering, un test d’intrusion interne et un audit organisationnel.
Le test d’intrusion externe a pour but de prouver qu’une personne malveillante ne pourra pas atteindre les informations confidentielles de l’entreprise depuis l’extérieur. Pour être pertinent, il faut donner au cabinet d’audit un but (récupérer le fichier clients, ou le plan stratégique par exemple) et ne pas modifier les processus de sécurité (ne pas alerter les équipes de surveillance qu’il y a un test : le but est de les tester). Le test d’intrusion externe doit cibler tous les moyens possibles de pénétrer dans le système d’information (réseau, application web, voir smartphone).
Le test de social engineering est l’un des tests les moins mis en œuvre et pourtant l’un des plus importants. Le social engineering, phénomène nouveau, lié aux habitudes de dialogue ouvert prises dans les réseaux sociaux doit être pris en compte dans l’approche sécurité. Les dernières grandes intrusions médiatiques comme celles de RSA ou du Ministère des finances ont commencé par du spearphishing. La forme typique de cette attaque : un utilisateur ouvrant une pièce jointe malveillante dans un mail paraissant légitime, comme peut l’être celui venant d’un réseau social, contenant un « exploit zero-day » qui permet d’exploiter une faille non publiée, et donc par définition inconnue des systèmes de défense de son entreprise.
Les risques de contournement des mesures de sécurité par des attaques sociales se sont renforcés par l’émergence des réseaux sociaux. En effet il est facile de connaître qui est « ami » de qui, et d’envoyer un mail se faisant passer pour un « ami ». Dans les systèmes d’informations où la sécurité technique est bien gérée, le maillon faible reste toujours l’humain. Il est donc nécessaire de tester les réactions des salariés face à des situations mettant en risque l’entreprise (clef USB laissée devant l’entrée du bâtiment, mail humoristique sensé venir d’un collègue, mail sensé venir d’un réseau social, personne qui a oublié son badge et à qui on fait passer le tourniquet, etc.) afin d’adapter le plan de sensibilisation.
Le test d’intrusion interne, où l’auditeur se met dans la peau d’un salarié avec le même poste de travail, les même droits, ce qui permet de mettre en lumière toutes les informations qu’il est possible d’exfiltrer de l’entreprise. En effet, plus des trois quart des fuites de données en entreprise sont dues aux salariés eux-mêmes, par malveillance ou par inattention. Les personnes à impliquer lors d’un test d’intrusion dépendent du contexte, du périmètre et des enjeux.
Enfin, l’audit organisationnel permet de mesurer si une politique de sécurité, des processus et des procédures de l’entreprise sont définis, mis en œuvre et contrôlés. Il permet de voir si l’entreprise a analysé ses risques et mis en œuvre des moyens de contrôle.
Cependant, pour que le plan d’audit soit pertinent et ait le plus d’effet dans le temps, il est nécessaire que la direction participe à la définition des objectifs de l’audit (afin de comprendre les risques que l’on veut mesurer) et à la restitution finale par l’auditeur. Cette restitution doit contenir des preuves (vidéo, fourniture d’un fichier stratégique, etc.) permettant au décideur de se rendre compte des vulnérabilités de son entreprise. La direction générale doit ensuite mandater une personne pour suivre les recommandations de l’audit et mettre en œuvre le plan d’action. Pour le cœur de l’audit, il faut limiter les parties prenantes au « juste nécessaire d’en connaître ». En effet l’audit doit agir comme une personne malveillante, et doit donc rester discret.
Le management, le RSSI (Responsable de la sécurité des systèmes d’information), le DSI doivent s’assurer de connaître les limites du plan d’audit. Un audit ne garantit pas qu’un système d’information soit sûr. Il indique que l’auditeur avec ses connaissances et le temps qu’on lui a alloué a, ou n’a pas trouvé de vulnérabilité. Cela ne veut pas dire qu’un pirate avec plus de temps et d’autres connaissances (par exemple, un nouveau « zero-day ») ne pourra pas pénétrer le système d’information. De la même façon, cela n’indique pas que toutes les vulnérabilités du système d’information ont été identifiées, seulement celles qui ont servi au testeur.
En conclusion, la sécurité est un enjeu qui doit être piloté au niveau de la direction générale, de par les risques financiers ou d’image induits sur l’entreprise. Il existe des moyens pour mesurer le niveau de sécurité mis en œuvre dans son organisation qui doivent être cadrés par rapport aux enjeux fixés par la direction générale. Ces audits doivent couvrir aussi bien les vulnérabilités techniques qu’humaines car les habitudes et réflexes liés aux réseaux sociaux offrent une mine d’opportunité aux personnes malveillantes.
Jean-Paul VAURS - RSSI Groupe GFI Informatique
Dimitri DRUELLE - RSSI Opérationnel Groupe GFI Informatique,
auditeur certifié CISSP et ISO 27001 Lead auditor par LSTI
Commenter cet article