Découvrez le cas fil rouge de la partie
Vous allez maintenant vous mettre dans la peau du RSSI de la Fintech PayeTonPote, qui propose une plateforme de paiement entre particuliers. Votre objectif va être de définir la stratégie d’audit et de contrôle de cette start-up, en suivant la démarche abordée dans cette partie.
Le contexte de l’entreprise est le suivant :
Le développement de la solution de paiement vient d’être achevé, et elle va bientôt être ouverte au public.
L’entreprise compte 20 employés.
Les clients utilisent une application web mobile pour réaliser les paiements.
Le poste de RSSI vient d’être créé, et l’entreprise ne dispose pas d’autre ressource en cybersécurité.
Mais avant de nous lancer dans la stratégie à proprement parler, nous allons d’abord voir les étapes nécessaires pour cadrer un audit ou un contrôle ponctuel unitaire, et les questions auxquelles vous devrez répondre.
Dans un premier temps, votre objectif en tant que RSSI de PayeTonPote sera le suivant :
Vérifier que l’implémentation des fonctionnalités de paiement dans le code respecte les bonnes pratiques de sécurité.
Définissez le périmètre et le type d’audit ou de contrôle à réaliser
Avant de vous lancer dans la réalisation, il est nécessaire de définir en détail le périmètre et le type d’analyse que vous allez réaliser sur ce périmètre. Cela revient à répondre aux questions “Quoi ?” et “Comment ?”.
Quoi ?
La question du “Quoi” est essentielle pour vous assurer que votre audit ou contrôle porte bien sur ce que vous souhaitez évaluer, et qu’il permettra de répondre à votre objectif.
La réponse doit être aussi précise que possible pour éviter toute mauvaise surprise. Il serait dommage à l’issue de l’audit que vous vous rendiez compte qu’un point clé n’a pas été vérifié, simplement parce qu’il n’avait pas été exprimé clairement à l’auditeur.
N’oubliez pas que l’auditeur n’est pas dans votre tête et ne connaîtra souvent pas votre SI : il faut le guider aussi précisément que possible sur les points clés que vous souhaitez vérifier.
Par exemple, dans le cas de PayeTonPote, vous souhaitez vérifier l’implémentation des fonctionnalités de paiement dans le code. Quel serait alors le périmètre de l’audit ? Quels événements redoutés ou scénarios d’attaque veut-on évaluer ?
Et si je ne connais pas bien le périmètre audité, comment m’assurer que je n’oublie rien ?
Pour répondre à la question du “quoi” de manière précise, il faut impliquer les personnes qui connaissent le périmètre à auditer, et qui pourront vous lister les événements redoutés et vous présenter le SI. Par exemple, si vous auditez un SI : le maître d’ouvrage, le maître d'œuvre, le PDG, etc. Et si vous auditez une organisation : le RSSI, le DSI ou ses équipes.
Il faudra en amont bien identifier les rôles et responsabilités de chacun.
Comment ?
La question du “Comment” consiste à identifier le type d’audit ou de contrôle que vous allez réaliser, et les modalités de réalisation.
N’oubliez pas que l’effort à mener sur un audit ou un contrôle doit être proportionné au risque pour l’entreprise : une revue exhaustive d’un actif non essentiel pour l’activité de l’entreprise n’est peut-être pas pertinente en termes de retour sur investissement (ROI).
Vous devrez aussi traiter la question des modalités de réalisation, notamment les prérequis : de quoi aurez-vous besoin pour réaliser cet audit ou ce contrôle ? Pourrez-vous l’obtenir ?
Par exemple dans le cas de PayeTonPote : quels seraient le type d’audit à réaliser et les prérequis nécessaires ?
Mais si je n’ai pas les compétences techniques, comment faire pour identifier les prérequis nécessaires ?
Bien sûr, l’auditeur vous donnera les éléments précis dont il aura besoin pour réaliser ses analyses (comptes privilégiés, poste de travail ou outils spécifiques, etc.). Il vaut mieux cependant vous assurer en amont avec les équipes chargées du périmètre audité, que les prérequis les plus évidents peuvent être obtenus.
Définissez le planning et les ressources à mobiliser
Une fois que vous savez ce que vous allez contrôler et comment, il faudra cadrer la question des ressources et du planning de votre audit ou contrôle ponctuel. Cela revient à répondre aux questions “Qui ?” et “Quand ?”.
Qui ?
Cette question contient en fait trois sous-questions :
1. Qui va réaliser l’audit ou le contrôle ?
La réponse dépend du type d’audit ou de contrôle que vous allez réaliser, et des compétences que vous avez à votre disposition. Cela revient à savoir si vous allez pouvoir mener cet audit ou ce contrôle avec des compétences internes, ou si vous allez devoir faire appel à une société externe, et avec quel niveau d’expertise ou de qualification.
Mais comment faire pour estimer le budget nécessaire ?
Le budget d’un audit ou d’un contrôle peut être très variable. En plus du niveau d’expertise des auditeurs, c’est aussi sa durée qui détermine le prix, et elle peut être très variable en fonction du type d’audit ou de contrôle ! À titre d’exemple, une revue de configuration simple sur un serveur prend en moyenne autour de 2-3 jours, alors qu’une opération Red Team peut nécessiter plusieurs dizaines de jours de travail.
Le budget dépend aussi bien sûr des tarifs pratiqués par les sociétés externes. N’hésitez pas à solliciter plusieurs sociétés et à demander des devis pour vous faire une idée du budget à prévoir.
Si votre budget n’est pas suffisant et que vous ne pouvez pas en obtenir plus, il pourrait être nécessaire de revoir vos ambitions à la baisse, et de redéfinir le périmètre et le type d’audit ou de contrôle à réaliser.
2. Qui va être sollicité pendant la réalisation de l’audit ou du contrôle, et à quelle hauteur ?
Le deuxième type de ressource que vous allez mobiliser, ce sont les “audités” sur le périmètre. Cela peut être : le métier, le maître d’ouvrage, le maître d'œuvre, un responsable de périmètre SI, etc.
En clair, il s’agit des personnes qui connaissent le périmètre et qui pourront à la fois répondre aux questions, fournir les prérequis et apporter les éléments de preuve qui pourraient être nécessaires pendant l’audit ou le contrôle.
Là aussi, leur niveau de mobilisation va dépendre du type d’audit que vous allez réaliser. Dans le cas d’un test d’intrusion par exemple, l’auditeur sera relativement autonome dans la réalisation. En revanche, si vous réalisez une revue organisationnelle, plusieurs heures d’entretiens avec les audités seront nécessaires, et ils devront vous fournir des preuves.
3. Qui va être mobilisé après la réalisation de l’audit ou contrôle pour piloter et réaliser la remédiation ?
Dans la partie 1, nous avons vu que la question de la réalisation des audits et contrôles va de pair avec la question de la remédiation pour assurer un retour sur investissement de votre audit ou contrôle.
Par exemple dans le cas de PayeTonPote : qui réalisera l’audit ou le contrôle ? Qui sont les personnes à solliciter pendant l’audit ou le contrôle, et à quelle hauteur seront-ils mobilisés ? Qui va piloter et traiter la remédiation ?
Quand ?
La dernière question à se poser est celle du planning. Pour cela, vous devrez prendre en compte deux aspects principalement :
1. Quel serait le planning idéal du point de vue cybersécurité pour réaliser cet audit ou contrôle ?
Vous pourriez souhaiter que les travaux soient réalisés sur une certaine période afin de couvrir un risque de cybersécurité urgent ou de répondre à une contrainte externe, comme une certification ou une réglementation cybersécurité.
Par exemple, si votre entreprise a récemment subi une cyberattaque, vous pourriez avoir besoin de vous assurer très rapidement que cela ne pourra pas se reproduire. De même, si votre entreprise va bientôt être très exposée lors d’un événement, vous pourriez vouloir vérifier la robustesse de votre SI avant cela. Si vous prévoyez une acquisition de société, il est préférable de réaliser l’audit ou le contrôle avant la fusion des SI, etc.
Autant que possible, ces éléments doivent guider la planification de l’audit ou du contrôle, mais il y a un deuxième aspect à prendre en compte :
2. Quelles sont les contraintes de planning sur le périmètre à auditer ?
Pour collecter des éléments, il sera nécessaire de vous rapprocher des audités. Les questions suivantes peuvent guider vos discussions :
Y a-t-il des contraintes d’agenda à prendre en compte ?
Bien sûr, cette question est plus ou moins importante en fonction de la charge à prévoir du côté des audités. Vous pouvez vous baser sur les estimations que vous avez réalisées à la sous-section précédente (“Qui ?”) pour savoir à quel point une indisponibilité d’un ou plusieurs acteur(s) est handicapante pour l’audit ou le contrôle.
Y a-t-il des évolutions structurantes en cours ou à venir sur le périmètre audité ?
Cette question peut permettre d’ajuster le planning de l’audit ou du contrôle afin qu’il soit le plus pertinent possible. Si une évolution majeure est prévue sous peu, il peut être utile de retarder les travaux afin d’effectuer l’analyse sur une architecture fonctionnelle et technique suffisamment pérenne, et obtenir un bon retour sur investissement.
Bien sûr, il sera nécessaire de bien valider le planning avec les audités afin d’éviter tout aléa au démarrage de l’audit.
Par exemple, dans le cas de PayeTonPote : quel serait le planning idéal pour réaliser cet audit ou contrôle ? Quelles sont les contraintes à prendre en compte ?
Préparez le lancement
Une fois que tous ces éléments sont définis, vous pouvez préparer le lancement de l’audit ou du contrôle.
Il est d’usage d’organiser une réunion de lancement avec un support présentant les éléments définis précédemment, à savoir :
le périmètre de l’audit ou du contrôle, et le scénario redouté à qualifier (exemple : l’objectif) ;
le type d’audit choisi et les prérequis ;
les acteurs : ceux qui sont chargés de la réalisation de l’audit ou du contrôle, ceux qui seront sollicités pendant les travaux, et ceux qui effectueront la remédiation ;
le planning.
Si vous n’avez pas identifié précisément l’auditeur, il faudra bien sûr le faire avant la réunion de lancement. Pour cela, vous pouvez solliciter les compétences internes que vous aurez identifiées, ou alors faire appel à un prestataire de service spécialisé.
À vous de jouer !
Vous allez cadrer l’audit ou le contrôle ponctuel à réaliser pour répondre à votre objectif :
Vérifier que l’implémentation des fonctionnalités de paiement dans le code respecte les bonnes pratiques de sécurité.
Vous avez pour cela réalisé une réunion avec le responsable de la plateforme et le responsable des développements, dont voici le compte-rendu. Remplissez la colonne de droite de ce tableau, et comparez vos propositions à celles qui sont proposées dans la correction.
Concernant le budget, nous allons considérer que vous n’avez pas de limites pour les besoins de l’exercice. Attention toutefois à bien rester pragmatique !
En résumé
Le cadrage d’un audit ou d’un contrôle ponctuel vise à répondre aux questions : Quoi, Comment, Qui et Quand.
“Quoi” : il est important de bien identifier les personnes à solliciter pour comprendre les volets fonctionnels et techniques du périmètre à auditer.
“Comment” : il peut être utile de vous assurer que les prérequis les plus évidents pourront être mis à disposition, au risque de devoir revoir le type d’audit ou de contrôle que vous pourrez réaliser.
“Qui” : vous adresserez la question du budget. S’il n’est pas suffisant, cela pourrait vous amener à revoir la réponse au “Quoi” et au “Comment”.
“Quand” : mettez en perspective votre planning idéal et les contraintes de planning sur le périmètre audité.
Dans le cas d’un audit ponctuel, il est souvent nécessaire de faire appel à un prestataire spécialisé, sauf si vous disposez d’une équipe dédiée et expérimentée en interne.
Maintenant que nous avons vu comment cadrer un audit ou un contrôle ponctuels, nous allons voir comment faire pour une approche continue !