Quatre clés pour préparer un audit de sécurité
De nombreux RSSI appréhendent la visite d’un auditeur. Mais celle-ci peut apporter de nombreux bénéfices, à commencer par un regard neutre et honnête sur la posture de sécurité de l’entreprise.
De nombreux RSSI appréhendent la visite d’un auditeur. Mais celle-ci peut apporter de nombreux bénéfices, à commencer par un regard neutre et honnête sur la posture de sécurité de l’entreprise, la validation et l’encouragement des efforts en cours, ou encore des conseils utiles sur la manière de compenser les écarts et de répondre aux besoins réels. Quelques points sont toutefois essentiels pour assurer une collaboration réussie.
Préparer la visite
De nombreux auditeurs demandent des informations variées en amont de leur visite, à commencer par des diagrammes réseau, des inventaires de systèmes, ou encore des descriptions des contrôles en place. Les RSSI devraient répondre à ces attentes de manière aussi complète que possible. Car plus un auditeur comprend l’environnement de l’entreprise avant de commencer son travail, plus l’audit sera rapide et efficace. Si l’auditeur ne reçoit pas les informations adéquates en avance, il devra apprendre à partir de zéro, sur place, à son arrivée. Ce qui se traduira par un audit plus long, mais aussi un risque accru de confusion ou d’incompréhension.
En amont de la visite d’un auditeur, l’entreprise devrait en outre lui demander quels types d'experts il aura besoin de rencontrer – développeurs, administrateurs systèmes ou réseau, etc. Et de s’assurer de la présence de ceux-ci lors de réunions formellement programmées, armés des équipements et des identifiants nécessaires à l’accès aux systèmes que l’auditeur souhaitera examiner. Il est important de relever que les auditeurs ont un agenda et un budget et, ainsi, apprécient de ne pas perdre de temps à attendre ou de ne pas découvrir à la dernière minute que l’interlocuteur prévu n’est pas disponible.
L’équipe de sécurité devrait également connaître les bases du standard pour lequel leur organisation sera auditée, ainsi que les attributs spécifiques de leur environnement IT qui seront étudiés. Par exemple, pour un audit PCI DSS, il est important de connaître ce qu’est l’environnement de données de porteurs de cartes (CDE) de l’organisation : le CDE ne détermine pas seulement ce qui sera étudié durant l’audit ; il varie significativement d’une organisation à l’autre. Cette connaissance aidera les professionnels de la sécurité à comprendre quels systèmes et quels processus seront examinés à l’arrivée de l’auditeur.
Périmètre
Sur site, l’une des principales et des plus importantes tâches de l’auditeur consiste à déterminer quels systèmes et processus étudier. Les professionnels de la sécurité peuvent l’aider en cela en identifiant et documentant clairement la manière dont les informations sensibles circulent au sein de l’organisation. Les auditeurs adorent les diagrammes de flux de données !
Après un premier jour de présence de l’auditeur sur site, l’entreprise devrait demander à l’auditeur d’expliquer clairement ce qu’il considère comme figurant dans le périmètre de l’audit. En cas de désaccord ou d’incompréhension, l’organisation devrait discuter calmement du périmètre avec l’auditeur jusqu’à ce qu’un accord soit trouvé.
Eviter les points noirs
Certaines actions vont rendre l’auditeur nerveux. De quoi provoquer un examen plus étroit et un audit plus long. Plus précisément, il est essentiel de ne jamais mentir ni produire de fausses informations durant un audit. Si un auditeur pense être trompé, il va le percevoir comme une menace pour lui-même et pour son employeur. Pour ensuite fouiller plus en profondeur afin de réduire le risque. Et il convient là de ne jamais sous-estimer les compétences techniques des auditeurs. Nombre d’entre eux disposent d’une expérience technique concrète et conséquente. Ils ont en outre à leur actif l’examen de nombreux environnements variés. Mais il est tout à fait acceptable de dire franchement à un auditeur que l’on ne dispose pas, sur le champ, de réponse à ses interrogations… tout en promettant de les trouver.
En outre, les auditeurs n’apprécient particulièrement pas qu’une entreprise ne sache pas avec certitude où des informations sensibles sont stockées ni où elles se déplacent. De leur point de vue, l’implémentation de contrôles de sécurité dépend fortement de la compréhension des mouvements des données sensibles. Si un auditeur pense qu’une entreprise n’a pas une connaissance complète de ses données sensibles, il est largement susceptible d’estimer que les mesures prises pour protéger les données ne sont pas correctement implémentées. Il examinera alors de plus près les contrôles mis en place. Les RSSI peuvent prévenir cela en identifiant et documentant clairement la manière dont les informations sensibles sujettes à audit transitent au sein de l’organisation.
Un autre point noir potentiel est l’absence d’implémentation consistante des contrôles mentionnés dans les politiques et les standards. Par exemple, si la politique de l’entreprise mentionne l’exigence de mots de passe forts mais que l’évaluation concrète révèle l’existence de mots de passe faibles, l’auditeur pourra douter de sa capacité à faire respecter ses règles. En somme, si une exigence ne peut pas être mise en œuvre, elle n’a pas à figurer dans une politique interne.
Découvrir les écarts
Dès le début d’un audit, il convient de demander à l’auditeur de rapporter tout écart significatif dès qu’il est identifié. Cela minimise le risque de mauvaises surprises et permet d’engager rapidement la remédiation – une approche appréciée par les auditeurs. Dans certains cas, l’auditeur peut même accepter que certains écarts soient corrigés dans l’instant – par exemple l’améliorer des règles relatives aux mots de passe sur un serveur.
En cas d’incompréhension, le RSSI devrait demander à l’auditeur de développer son propos : un bon auditeur sera toujours capable d’expliquer clairement où se trouve l’écart et l’objectif d’exigences spécifiques. Et lorsqu’une raison technique ou métier justifie l’absence de remédiation d’un écart, il convient de demander s’il est possible de mettre en place des contrôles permettant de compenser la situation.
Dans tous les cas, il convient de retenir que le but ultime d’un auditeur est de collaborer avec l’entreprise pour améliorer sa posture de sécurité. Dans cette perspective, il apparaît préférable que l’auditeur découvre des écarts et aide à les corriger, plutôt qu’un acteur malicieux ne les trouve lui-même… Ainsi, les RSSI peuvent aider significativement leurs entreprises à passer un audit sans douleur, efficace, et bénéfique.
Par Steven Weil, CISSP, CISA, CISM, CRISC, QSA, auditeur de sécurité sénior chez Coalfire Systems. Adapté de l’anglais par la rédaction.