Définissez précisément vos objectifs
De la même manière que pour un audit ou contrôle unitaire, les premiers éléments à définir lorsque vous allez construire votre stratégie d’audit et de contrôle cybersécurité sont :
ce que vous allez contrôler (les périmètres) ;
comment vous allez le faire (les types d’audits ou de contrôles).
Pour cela, il faut partir de vos objectifs. Autrement dit : qu’est-ce que vous devrez être en mesure d’évaluer avec cette stratégie ?
Pour aller plus loin dans la réflexion, il vous faudra impliquer d’autres personnes dans la démarche. En effet, votre stratégie d’audits et de contrôles va vous permettre d’évaluer la probabilité d'occurrence d’un ou plusieurs risques. Il faut donc identifier les événements qui sont les plus redoutés pour votre entreprise.
La meilleure manière de le faire est d’interroger les personnes chargées de chaque périmètre métier (exemple : chaque activité) au sein de l’entreprise, et de leur poser la question de leurs événements redoutés.
Autrement dit :
En cas de cyberattaque, quel pourrait être le pire qu’il pourrait se passer ?
Quel serait l’impact concret pour l’entreprise si cela se produisait ?
Vous aurez bien sûr des préoccupations différentes en fonction des personnes que vous irez voir.
Cette approche, accompagnée de vos réflexions, vous permettra d’identifier précisément les objectifs de votre stratégie d’audits et de contrôles.
Par exemple, pour le cas de PayeTonPote, quels événements redoutés ou scénarios d’attaque veut-on évaluer ?
Identifiez les périmètres de vos audits et contrôles
La question des objectifs va vous aider à identifier les périmètres à auditer.
Mais pour identifier les périmètres précis à auditer en partant de ces objectifs, il faut bien connaître votre SI.
Pour cela, il vous faudra solliciter les responsables des SI de votre entreprise. Ils doivent avoir une vision suffisamment haut niveau pour vous présenter les principales briques de manière macroscopique, mais aussi une connaissance suffisante des différents SI pour vous aiguiller sur les périmètres à prendre en compte en fonction de vos objectifs.
Identifiez également à travers ces entretiens la trajectoire globale de votre entreprise en matière de SI. Par exemple, si votre entreprise envisage une migration globale sur le Cloud par exemple, il peut être utile de le savoir afin de déprioriser certains audits ou contrôles le temps de la migration.
Tous ces éléments vous permettront de faire le lien entre les événements redoutés et les périmètres à cibler, pour évaluer la probabilité d'occurrence de ces événements.
Un périmètre peut être un SI indispensable à certaines activités métier, une application qui contient des données très sensibles, une filiale qui présente des enjeux très importants, un fournisseur qui opère un service critique, un processus, etc.
Par exemple, pour le cas de PayeTonPote, quels seraient les périmètres d’audit à cibler ?
Choisissez vos combinaisons d’audits et de contrôles
Une fois que vous avez listé les périmètres à auditer, vous devez identifier les types d’audits et de contrôles à réaliser sur chacun d’entre eux.
Nous avons déjà vu tout cela à la partie 1. N’oubliez pas que vous pouvez combiner les audits et contrôles en fonction des questions auxquelles vous souhaitez répondre (exemple : vos objectifs).
Par exemple, pour le cas de PayeTonPote, quels seraient les types d’audits ou de contrôles à réaliser sur chaque périmètre identifié ?
Synthétisez l’ensemble dans un document
À ce stade, je vous conseille de synthétiser dans un document les éléments collectés.
Pour chaque périmètre visé par un audit ou un contrôle, il vous faudra lister :
une description du périmètre concerné ;
l'événement redouté à évaluer, et le lien entre celui-ci et le périmètre ;
les types d’audits et de contrôles à mener ;
les questions auxquelles chacun des types d’audits ou de contrôles vont répondre (cela vous permettra de vous assurer que les questions répondent bien aux événements redoutés) ;
l'intérêt pour l’entreprise à mener cet audit, autrement dit : le retour sur investissement. Cela peut être simplement de couvrir l’événement redouté identifié, mais il peut y avoir d’autres choses, comme par exemple démontrer une conformité à un régulateur ou aux clients, rassurer les actionnaires suite à un incident de cybersécurité, etc.
La synthèse de ces éléments vous permettra de prendre du recul et de bien vous approprier votre stratégie. Vous serez ainsi en mesure de défendre vos choix, notamment en cas de difficultés à obtenir un budget.
À vous de jouer !
Vous allez à présent définir votre stratégie d’audits et de contrôles en tant que RSSI de PayeTonPote. Dans un premier temps, nous allons répondre aux questions “quoi” et “comment”, objets de ce chapitre.
Vous vous êtes entretenu avec le responsable de la plateforme et le CEO afin d’identifier les évènements redoutés. Voici le compte-rendu de cet échange.
Enfin, vous avez échangé avec le CTO pour bien comprendre l’architecture et le fonctionnement de votre SI en lien avec les événements redoutés. Voici le compte-rendu de l’échange.
À partir de ces éléments, synthétisez dans ce tableau les éléments listés à la section précédente, pour commencer à définir la stratégie d’audits et de contrôles cybersécurité de PayeTonPote.
C’est fait ? Comparez vos réponses avec la correction !
En résumé
Pour répondre aux questions “Quoi” et “Comment”, il faut d’abord identifier vos objectifs. Ces objectifs sont majoritairement liés à la notion d'événement redouté : que pourrait-il se passer de pire pour l’entreprise en cas de cyberattaque ?
Une fois que l’on a identifié ses objectifs, il fait bien connaître son SI afin d’identifier les périmètres à auditer. Ils doivent en effet permettre de qualifier le niveau de probabilité des événements les plus redoutés pour l’entreprise.
Le choix du type d’audit ou de contrôle à réaliser sur le périmètre identifié va là aussi dépendre de votre objectif.
N’hésitez pas à commencer dès ce stade à formaliser ces éléments dans un document qui servira de base à votre stratégie d’audits et de contrôles cybersécurité.
Nous avons répondu aux questions “Quoi” et “Comment”, maintenant intéressons-nous au “Qui” et au “Quand” !
