Comprenez qu’il n’y a pas de recette magique
Si vous vous êtes lancé dans ce cours, c’est que vous savez que les audits et les contrôles sont essentiels pour garantir la cybersécurité d’une entreprise.
Ils ont en fait plusieurs intérêts, en particulier :
connaître son niveau de sécurité réel ;
confronter les politiques (ce qu’il faut faire) à la réalité (ce qui est réellement fait) pour déceler les écarts ;
alimenter la stratégie cybersécurité de l’entreprise grâce aux recommandations qui visent à augmenter le niveau de sécurité.
Mais les audits et contrôles ont aussi des limites !
D’abord, vous n’allez pas toujours tout voir. Les résultats d’un audit ou d’un contrôle dépendent en effet de plusieurs facteurs ; notamment :
les compétences de l’auditeur, qui doivent être alignées avec le type d’audit ou de contrôle réalisé (des référentiels et des qualifications existent pour cadrer les choses ; nous les verrons plus tard dans cette partie) ;
la coopération des audités (mise à disposition des bons prérequis, des documents, des preuves, etc.) qui doit être suffisante, sans quoi vous pourriez avoir du mal à organiser les travaux, ou encore passer à côté d’éléments essentiels ;
les outils, qui doivent être adaptés à ce que l’on souhaite contrôler ;
et surtout le choix du périmètre (ce que l’on va auditer) et du type d’audit ou de contrôle que l’on va réaliser : si ces éléments sont mal choisis, des éléments clés peuvent ne pas être vus.
Ensuite, les audits et contrôles ne se suffisent pas à eux-mêmes pour améliorer et maintenir le niveau de sécurité du SI. Pour en tirer les bénéfices, il faut mettre en œuvre les recommandations identifiées.
Donc une fois que j’ai fait mon audit ou mon contrôle, je n’ai fait que la moitié du travail ?
Tout à fait !
C’est pour cela que les audits et contrôles que vous allez réaliser doivent être à la fois :
adaptés aux enjeux de l’entreprise (c’est-à-dire centrés sur ce qui compte le plus) ;
mais aussi pragmatiques vis-à-vis des ressources dont vous disposez pour traiter les problèmes identifiés, autrement dit, la remédiation.
Si vous êtes très ambitieux dans vos audits et contrôles mais que vous n’avez pas les moyens d’organiser une remédiation efficace, vous allez vous retrouver submergé de recommandations, donc de risques, non traitées.
Pour toutes ces raisons, il est nécessaire de construire une stratégie d’audit et de contrôle avant de se lancer. Elle consiste à définir précisément : ce que vous allez vérifier, comment vous allez le faire, qui va le faire et quand.
Connaissez vos propres besoins
La question des besoins est fondamentale pour votre stratégie d’audits et de contrôles.
C’est le point de départ : pourquoi voulez-vous construire une stratégie d’audits et de contrôles, et quel périmètre doit-elle couvrir ?
Cela revient à se poser les questions suivantes :
Quel est votre objectif ?
Autrement dit : pourquoi je veux me lancer dans une stratégie d’audits et de contrôles ?
Les raisons peuvent être multiples :
vous avez subi une attaque par le passé et vous voulez contrôler le niveau de sécurité de vos SI pour que ça ne se reproduise pas ;
vous avez mis en place des règles de sécurité et vous voulez vérifier que vos nouveaux SI les prennent bien en compte ;
vous voulez vérifier que le niveau de sécurité reste correct au fil du temps ;
vous voulez démontrer une conformité auprès d’un tiers (comme un client, par exemple) ;
vous avez des contraintes réglementaires qui vous obligent à le faire ;
etc.
Quel périmètre vous devez prendre en compte ?
En d’autres termes : quelles cibles devez-vous contrôler au travers de votre stratégie d’audits et de contrôles ?
La réponse à cette question peut dépendre de plusieurs facteurs :
votre périmètre de responsabilité ;
le métier de votre entreprise ;
vos relations avec les tiers (partenaire, sous-traitant, filiale, etc.) ;
si vous avez défini ou pas des processus cybersécurité transverses ;
etc.
À ce stade, le périmètre peut être assez large ; nous verrons en partie 2 comment l’affiner pour construire votre stratégie.
Et si c’est encore flou pour moi, à qui dois-je faire appel pour répondre à ces questions ?
Pour l’instant, ce sont vos réponses qui sont importantes. Vous apprendrez plus tard qui vous allez devoir impliquer pour entrer un peu plus dans le détail, et construire votre stratégie à proprement parler.
Identifiez la maturité de votre entreprise
Ensuite, il faut identifier votre point de départ.
Encore une fois, pour l’instant nous n’allons pas entrer dans le détail, l’objectif est d’avoir une première idée. Nous verrons par la suite que la maturité peut s’évaluer de plusieurs manières.
À ce stade, vous pouvez déjà vous poser les questions suivantes :
Est-ce que mon entreprise a déjà fait des audits ou des contrôles ?
Si oui, de quel type ? sur quels périmètres ? quand ? Est-ce que les recommandations ont été mises en œuvre ?
Si aucun audit ou contrôle n’a été réalisé, cela signifie probablement que le niveau de maturité de votre entreprise n’est pas très élevé.Est-ce que mon entreprise a déployé des ressources en cybersécurité ?
Par exemple, si votre entreprise vient de créer un poste de RSSI, il est probable que le niveau de sécurité soit plutôt moyen, voire faible. En revanche, si votre entreprise a une grosse équipe de cybersécurité et des politiques de sécurité, il est possible que le niveau de sécurité soit plutôt dans une moyenne haute ou élevée.
Listez les compétences et les moyens dont vous disposez
Une fois que l’on connaît son besoin et la maturité approximative de son entreprise, il faut identifier les moyens dont on dispose afin de construire une stratégie d’audits et de contrôles réaliste.
Cela se traduit par les questions suivantes :
Ai-je les compétences et les ressourcesen interne pour réaliser des audits ou des contrôles ?
Ai-je la possibilité d’avoir du budget pour réaliser des audits et des contrôles ? Si oui, de quel ordre à peu près ?
Ai-je l’autorité pour mobiliser des ressources en interne pour réaliser la remédiation ?
En résumé
Les audits et les contrôles sont nécessaires pour garantir un bon niveau de sécurité, mais ils ne sont pas suffisants : il faut ensuite traiter les problèmes identifiés.
Construire une stratégie d’audits et de contrôles permet de prendre le recul nécessaire pour traiter les sujets qui comptent pour l’entreprise.
Les premières questions à vous poser sont : quel est votre besoin, quel est le niveau de maturité cybersécurité de votre entreprise, et quels sont les moyens dont vous disposez.
À ce stade, vous pouvez vous poser ces questions de votre côté ; l’objectif est de se faire une première idée avant d’entamer la démarche de construction de votre stratégie d’audits et de contrôles.
Maintenant que vous avez quelques réponses, nous allons voir quels sont les critères qui vont vous permettre de distinguer les différents types d’audits et de contrôles !