| L’audit organisationnel | D'un service à une nécessité
L'audit de sécurité d'un système d'information (SI) est une vue à un instant T de tout ou partie du SI, permettant de comparer l'état du SI à un référentiel. Il est généralement subdivisée en deux volets :
Dans la suite de cette article, nous nous intéresserons particulièrement à l'audit organisationnel.
I. Introduction
Dans un audit organisationnel, l’ensemble des procédures, des organisations et des moyens techniques concourant à la sécurité du système d’information, est audité.
Concrètement, les audits organisationnels sont réalisés par rapport au référentiel interne de l’entreprise audité (s’il existe) ou par rapport à d’autres référentiels (comme la norme internationale ISO/IEC 27002 ou d’autres normes adaptées au métier de l’entreprise). A ce titre, la norme ISO 27002 est composée de 11 thèmes distincts regroupant 133 mesures à appliquer pour réduire les risques à un niveau acceptable. Selon vos contraintes projets et les enjeux des métiers, il est tout à fait possible de traiter qu'une partie de ces thèmes.
II. Objectifs
L'audit organisationnel permet d’avoir une vue globale de l’état de sécurité du système d´information et d´identifier les risques potentiels sur le plan organisationnel. Tout en respectant les contraintes de budget et de structure, il permet d'apprécier les éléments suivants :
Une entreprise est à même de commanditer des audits organisationnels de ses fournisseurs qui assurent l’hébergement et l’administration de diverses plates-formes lui appartenant.
III. Méthodologie
Un audit organisationnel se déroule en quatre étapes :
1.Cadrage
Lors de cette étape, l'auditeur présente à l'audité la démarche qui sera suivie pour le déroulement de la prestation, et formalise les modalités pratiques, prérequis, contraintes et conditions d’intervention dans un document intitulé "Note de cadrage". Ce dernier recense les principaux points échangés et fait office de document de référence pour les modalités de pilotage, de suivi et de réalisation de la prestation d’audit. Dans ce document, l'auditeur précise aussi le référentiel proposé qui l'aura adapté au contexte client afin de conserver le pragmatisme nécessaire à son besoin.
2. Analyse documentaire
Lors de cette étape, l’auditeur va mener une analyse des politiques et procédures définies par votre organisation afin de vérifier leur conformité par rapport aux besoins de sécurité que vous exprimez.
3. Entretiens avec les équipes concernées
L’audit organisationnel est structuré sur la base d’entretiens entre les différentes parties prenantes afin de déterminer objectivement les écarts par rapport au référentiel (méthodologique, technique, réglementaire voire législatif) de l’organisation. Lors de ces entretiens, l’auditeur suit des questionnaires préétablis permettant d’appréhender les pratiques en termes de sécurité. Les éléments déclarés en entretien sont ensuite validés via la mise à disposition de preuves par l’audité.
4. Analyse et synthèse :
La phase d’analyse conduit à la synthétisation des besoins, des contraintes et des vulnérabilités identifiées. Lors de cette étape, l’auditeur tient compte des informations obtenues sur l’existant pour la préconisation des mesures à mettre en oeuvre afin de couvrir les risques identifiés au cours de l’audit.
IV. Recommandations organisationnelles et physiques
Suite à un audit organisationnel et physique du système d'information, les recommandations ci-dessous, organisées par chapitre de la norme ISO 27002, peuvent être préconisées :
Mettre en place un document de politique de sécurité qui traite les principes, les objectifs et les exigences de sécurité ainsi que la nomination des responsables de la mise en place du système de sécurité.
o La nomination d'un responsable de la sécurité (RSSI).
o Rattacher le service informatique à la direction générale.
o Création d'un comité de sécurité de système d'information pour le suivi des projets de sécurité.
o Lancer un appel d'offre auprès des sociétés spécialisées dans la sécurité, pour la mise en place d'un système de management de la sécurité de l'entreprise.
L'acquisition d'un logiciel qui gère le parc informatique de l'entreprise.
o Elaboration d'une charte de sécurité qui doit être signée par les employés de l'entreprise.
Recommandé par LinkedIn
o Les contrats de recrutement doivent inclure un paragraphe relatif à la politique de sécurité de l'entreprise.
o Formation de tout le personnel de l'entreprise (de la direction générale jusqu'aux employés) sur la sécurité informatique.
o La mise en place d'un système de suivi des incidents et des failles de sécurité.
o Changer le local technique par un autre qui répond aux normes de sécurité.
o Réserver un onduleur pour l'alimentation électrique du local technique.
o Sécuriser l'accès aux locaux sensibles par les badges électroniques (avec enregistrement des accès).
o Embaucher des agents de sécurité pour contrôler l'entrée et la sortie des portes
pendant les heures de travail.
o Installer un système de vidéo surveillance.
o Réglementer le déplacement d'ordinateurs à l'intérieur des locaux et la connexion des laptops au réseau de l'entreprise.
o Mise en place d'un site de secours pour la sauvegarde en ligne des différentes données du système d'information.
o Acquérir un logiciel de clonage des disques et de sauvegarde à chaud pour les serveurs et les postes critiques.
o Mettre en place un système central d'analyse des logs.
o Maintenir un document d'exploitation des systèmes et des applications.
o Sécuriser les sauvegardes et installer l'armoire anti-feu dans un endroit accessible par clef ou par badge.
o Renforcer la sécurité des mots de passe.
o Utiliser les connexions VPN entre le siège et les centres distants.
o Activer l'audit sur les serveurs critiques.
o Elaborer une politique pour la cryptographie des données critiques.
o Etablir des contrats de mise à jour et de maintenance pour tous les progiciels installés dans l’entreprise.
o Elaborer un plan de continuité qui permet de maintenir ou rétablir, dans les délais prévus, les activités de l'entreprise en cas d'interruption ou de défaillance des processus cruciaux. Le plan de continuité est revu régulièrement en tenant compte des évolutions techniques et organisationnelles.
o Etablir un plan d'audit des éléments critiques de l'entreprise.
Il est recommandé de définir les exigences légales, réglementaires et contractuelles pour chaque système d'information
V. Livrable
Les audits organisationnels aboutissent à la rédaction d’un rapport d’audit présentant :
VI. Outils et moyens
Pour mener à bien un audit organisationnel, les éléments suivants doivent être pris en considération :
IT RISK OFFICER, EBIOS RISK MANAGER, ISO 27001 LI
3 ansMerci pour le partage, il y a aussi la norme ISO 19011:2011 fournit des lignes directrices sur l'audit de systèmes de management, et elle est applicable à tous les organismes
Cyber Security Consultant chez I-TRACING
3 ansÇa résume bien la méthodologie Bravo Zak ☺️