Comment effectuer un audit de sécurité informatique – Guide et outils étape par étape
Il y a beaucoup de menaces pour les systèmes informatiques et les attaques de pirates ne sont pas la seule source de problèmes potentiels. Vous devez également vous protéger contre les menaces internes et les pertes ou dommages accidentels de données. De nombreuses activités doivent être effectuées afin de garantir une sécurité renforcée du système.
Vous devez effectuer audits périodiques de sécurité informatique pour vous assurer qu’il n’existe aucune lacune dans votre stratégie de sécurité. Lorsque vous effectuez un audit de sécurité informatique, vous devez méthodiquement utiliser une liste de contrôle, car les contrôles ad hoc peuvent simplement confirmer les problèmes de sécurité que vous avez pensés et traités.
Ce sont les éléments de sécurité du système que vous avez négligés qui constitueront le talon d’Achille de votre entreprise.
Voici notre liste des quatre meilleurs outils automatisés de sécurité informatique :
- Gestionnaire de droits d'accès SolarWinds (ESSAI GRATUIT) Contrôlez les implémentations d'Active Directory dans toute l'organisation et renforcez les informations d'identification des utilisateurs.
- Papertrail (ESSAI GRATUIT) Un gestionnaire de journaux complet qui donne accès aux archives pour l'audit.
- Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT) Un outil de sécurité qui peut être personnalisé pour montrer la conformité aux normes.
- Porte Logique Un système d'évaluation des risques informatiques basé sur le cloud.
Qu’est-ce qu’un audit de sécurité informatique ?
Un audit est une évaluation du système. Il y a plusieurs niveaux d'audits de sécurité et différentes raisons d'en effectuer un. Un audit peut être réalisé en interne avec des outils automatisés, d'autres peuvent nécessiter la contribution de consultants externes pour identifier et ajuster les pratiques de travail qui créent des failles de sécurité.
Les audits automatisés de sécurité informatique sont également appelés évaluations de vulnérabilité , tandis que les questions de procédure sont traitées par gestion des risques . Le coût et les perturbations d'un audit externe peuvent être rebutants et il est donc préférable de planifier ces types d'audits de sécurité informatique moins fréquemment que les analyses automatisées du système. L'installation d'un logiciel de surveillance conforme aux normes effectuera automatiquement les tâches d'audit de conformité pour vous.
Des outils de suivi adaptables par modèles de conformité aux normes imposer un ensemble de pratiques de travail et produire une documentation de conformité sans intervention humaine. Un audit de sécurité informatique peut être facilité en instituant les meilleures pratiques appliquées par logiciel.
Types d'audit de sécurité
Un audit de sécurité informatique examine les systèmes et les pratiques de travail, à la recherche de faiblesses susceptibles de permettre une violation de données ou à la recherche de preuves qu'une violation de données s'est produite. Le rôle d'auditeur est un poste professionnel et il existe des organismes de normalisation qui délivrent des certifications aux professionnels qui deviennent membres de l'institut et passent des examens pour prouver leurs connaissances. Ainsi, il existe des auditeurs certifiés des systèmes d’information et des auditeurs certifiés Internet qui sont qualifiés pour réaliser des audits de sécurité informatique.
Audit interne
Comme son nom l'indique, un audit interne est réalisé par un membre de l'organisation. Un audit interne est généralement commandé par le conseil d'administration plutôt qu'un exercice électif effectué par le service informatique. La demande d’audit doit également préciser la norme à atteindre.
Un audit interne est généralement un exercice peu fréquent. Il peut s'agir d'une évaluation du système qui garantit que l'entreprise passera avec succès un audit externe.
L'audit de sécurité informatique a pour objectif de identifier les problèmes que les responsables du service informatique n'avaient pas remarqué et suggèrent des failles potentielles auxquelles ces responsables n'avaient pas pensé, de sorte que ces mêmes responsables ne sont pas les bonnes personnes pour définir l'ordre du jour de l'audit.
Certaines grandes entreprises disposent d’un service d’audit interne. Seules les très grandes entreprises disposent d'un volume et d'une envergure d'activité qui leur permettent de justifier d'avoir un auditeur spécialisé en informatique qualifié sur le personnel. Le service d'audit des petites entreprises peut embaucher un consultant spécialisé en sécurité informatique pour renforcer l'équipe d'audit pendant la durée de l'audit de sécurité informatique.
Audit externe
Un audit externe a plus autorité qu'un audit interne. Bien qu'un auditeur externe soit rémunéré par l'entreprise auditée, cette activité d'audit est censée être indépendante. Il ne doit pas être soumis à des pressions visant à falsifier les conclusions de l'audit afin de présenter le système informatique sous un jour positif.
Le moteur d’un audit externe est généralement une exigence contractuelle ou une obligation légale de l’entreprise de prouver qu’il n’y a aucun problème de sécurité dans son système informatique. Actuellement, l'objectif principal d'un audit de sécurité informatique est de prouver la conformité à une norme de sécurité des données, telle que HIPAA , PCI DSS , ou SOX .
Méthodes d'audit de sécurité informatique
Les deux cadres d'audit de sécurité informatique sont audits manuels et audits automatisés . En réalité, aucun audit informatique ne sera entièrement manuel car les auditeurs s'appuient sur des outils pour extraire les données du système. De même, aucun audit ne peut être entièrement automatisé car un humain doit définir les paramètres des outils automatisés et vérifier la véracité de leurs résultats. Cependant, l’implication humaine est plus importante dans un audit manuel que dans un audit automatisé.
Vérification manuelle
Un audit manuel prend du temps et coûte cher. Pour que l'audit soit utile et fasse autorité, les personnes qui dirigent l'audit doivent être professionnels qualifiés en audit informatique , qui perçoivent des salaires élevés.
Un auditeur professionnel possède l’expérience qui oriente l’audit vers les facteurs importants à surveiller et la formation qui garantit que l’audit sera effectué de manière méthodique et approfondie.
Un audit manuel présente l'avantage de pouvoir inclure entretiens avec le personnel clé . Il peut évaluer la compétence des personnes qui exploitent le système informatique. Un audit manuel est également capable de couvrir des questions géographiques, telles que l'emplacement des équipements informatiques clés et les mesures de sécurité physique prises par l'entreprise.
La validité d'un audit manuel dépend de la compétence et de la réputation de l'auditeur principal qui dirige l'enquêteur et de la confiance accordée à l'équipe qui réalise l'audit.
Audit automatisé
UN Technique d'audit assistée par ordinateur (CAAT) n’est pas entièrement automatisé. Il doit y avoir des personnes pour contrôler et vérifier la mise en œuvre de l'audit et ses résultats. Cependant, le CAAT est beaucoup plus facile à réaliser qu’un audit manuel traditionnel.
Les audits automatisés sont plus efficace lorsqu'ils sont mis en place de façon permanente. La base documentaire d’un audit de sécurité informatique peut être constituée au fil du temps, en vérifiant chaque transaction et événement au fur et à mesure qu’il se produit. Ainsi, un audit automatisé peut être effectué de manière incrémentielle. Lorsqu’un rapport d’audit doit être soumis, il peut être extrait immédiatement.
Un audit continu, mis en œuvre par traitement automatisé permet également au service informatique de rester dans le droit chemin. Les modèles de normes intégrés au système informatique évitent les pratiques de travail bâclées et réduisent le risque que l'entreprise échoue à un audit exigé par une autorité externe.
Voir également: Meilleurs outils d'audit de sécurité réseau
Normes de sécurité informatique
Alors que l'audit financier est exigé par les autorités fiscales, les audits de sécurité informatique sont généralement motivés par l'exigence de se conformer à une norme de protection des données – motivée par des obligations contractuelles ou des conventions sectorielles. Les principales normes qui nécessitent un audit pour prouver leur conformité sont :
- PCI DSS – PCI-DSS est une exigence de traitement des cartes de paiement. Une entreprise ne pourra pas accepter les paiements de ses clients sans accréditation PCI-DSS. La norme PCI-DSS ne s’intéresse pas à la sécurité de l’ensemble du système informatique d’une entreprise, mais uniquement aux détails des cartes de paiement et aux informations personnelles des clients.
- HIPAA – Cette norme s’applique au sein de l’industrie de la santé et des entreprises qui la fournissent. Il concerne les informations personnelles des patients.
- SOX – SOX signifie la loi Sarbanes-Oxley. Il s'agit d'une norme juridique nationale aux États-Unis qui vise à empêcher les entreprises de falsifier les rapports sur leur rentabilité et leur viabilité financière. Bien que cette norme ne s’applique qu’aux entreprises américaines, elle doit également être mise en œuvre dans toutes les filiales étrangères des entreprises américaines.
- RGPD – Cette norme de protection des données s’applique aux pays de l’UE. Cependant, toute entreprise non européenne souhaitant faire des affaires dans l’UE. Elle concerne spécifiquement la sécurité des informations personnelles identifiables (PII) détenues au format numérique.
- ISO/CEI 27000 – Une famille de normes produites par l'Organisation internationale de normalisation (ISO). Ces normes ne sont pas directement. Cependant, il s’agit souvent d’exigences fixées par les entreprises lors de la rédaction de contrats avec des sociétés associées, telles que des fournisseurs.
Fréquence des audits de sécurité informatique
Contrairement aux audits financiers, le gouvernement n’impose aucune exigence générale concernant la fréquence des audits de sécurité informatique. De nombreuses normes de sécurité informatique incluent un renouvellement d'accréditation , ce qui nécessite un audit. Si vous demandez une accréditation selon l'une de ces normes, vous devez suivre les exigences d'audit de cette norme particulière.
La convention en matière d'audits financiers et d'accréditation des normes de sécurité informatique est de les effectuer chaque année. Il s'agit donc de la meilleure pratique en matière d'audit de sécurité informatique.
Un audit proactif et automatisé a lieu en continu . L'audit continu fournit toute la documentation nécessaire pour un audit de normes. Si un audit externe est demandé, l’entreprise auditée doit avoir tous ses enregistrements disponibles pour inspection sans avertissement.
Un déclencheur courant pour un audit de sécurité informatique est la découverte de une violation de données ou une grave attaque de cybersécurité. Une fois remis de l’attaque, les dirigeants de l’entreprise demanderont probablement un audit de sécurité informatique pour s’assurer qu’un autre incident de sécurité ne se produise pas.
Conseils d'audit de sécurité informatique
Les audits de sécurité informatique peuvent être très perturbateurs. Un audit manuel en particulier nécessite que le personnel informatique prenne du temps en dehors de ses activités régulières pour répondre aux besoins d'information des auditeurs. La préparation d'un audit peut également prendre beaucoup de temps car elle nécessite que tous les enregistrements pertinents soient localisés et mis à disposition dans un format approprié.
Vous pouvez prendre certaines mesures pour garantir qu'un audit se déroule sans problème et avec un minimum de perturbations des activités en cours du service informatique.
- Identifier les données sensibles – Un audit de sécurité informatique axé sur les normes se concentrera sur un pool de données spécifique, tel que les données de carte de paiement (pour PCI-DSS) ou les informations personnelles (pour HIPAA). Identifiez tous les emplacements de stockage de données pour ce type de données. Dans la mesure du possible, centralisez tous les types de données critiques et concentrez-y les efforts de sécurité. Si la centralisation n'est pas possible, assurez-vous que des mesures de haute sécurité sont appliquées à tous les emplacements où ces données sont stockées.
- Gérer les fichiers journaux – Les normes de données exigent que tous les fichiers journaux soient disponibles sur demande pour examen par un auditeur externe sans préavis. La période de conservation pour cette exigence varie selon la norme. L'archivage est acceptable, mais les archives doivent être facilement restaurées et mises à disposition en direct pour examen.
- Contrôler l'accès aux ressources – instaurer une politique de gestion des droits d’accès qui coordonne l’accès aux couches de données et la sensibilité des applications. Enregistrez tous les événements d’accès afin que les violations de données puissent faire l’objet d’une enquête appropriée.
- Appliquer des pratiques de travail sécurisées – Utilisez des casiers de mots de passe et des systèmes de distribution d’identifiants qui excluent la nécessité d’envoyer des identifiants de connexion par courrier électronique ou écrits sur des morceaux de papier. Assurez-vous que toutes les activités sont effectuées dans le cadre du système informatique afin qu'elles puissent être automatiquement enregistrées et tracées.
Assurez-vous de savoir exactement lequel norme de données vous êtes censé vous conformer et à quelles données ou transactions cette norme se rapporte. Supprimez les processus manuels dans la mesure du possible et enregistrez toutes les activités dans le système informatique.
Liste de contrôle pour l'audit de sécurité informatique
Facilitez le processus d’audit en vous assurant que votre service informatique est prêt à répondre à toute demande d’audit à tout moment.
- Précisez la norme d’audit à laquelle vous devez vous conformer.
- Identifiez les ressources que l’audit examinera.
- Attribuez la responsabilité de la sécurité du système au personnel clé pour différents attributs du système.
- Former les responsables de la sécurité des données afin qu’ils soient pleinement conscients de leurs responsabilités.
- Répertoriez les logiciels de sécurité du système actuels : par exemple, pare-feu, outils antivirus, SIEM, etc.
- Vérifiez que tous les logiciels et systèmes d'exploitation sont entièrement corrigés et mis à jour avec les dernières versions.
- Vérifiez que les archives des journaux sont disponibles pour la recherche.
- Créez un ensemble de politiques de sécurité et documentez-les, en les conservant dans un dossier spécifique, sous forme numérique ou sur papier.
- Effectuez régulièrement des analyses de vulnérabilité du système.
- Renforcez l’accès physique aux serveurs et documentez les niveaux d’accès de sécurité du personnel.
- Implémentez un contrôle d’authentification centralisé.
- Appliquez la force des mots de passe, le 2FA et la rotation des mots de passe sur tous les comptes d'utilisateurs.
- Supprimez les comptes inactifs.
- Mettez en œuvre des contrôles de périphériques et des pare-feu inversés pour prévenir la perte de données.
- Appliquez le cryptage à toutes les transmissions de données.
- Mettez en œuvre des analyses de sécurité automatisées et une journalisation des activités.
Lorsqu'une équipe d'audit externe arrive, les étapes ci-dessus garantiront qu'elle pourra effectuer un audit de sécurité complet sans que votre personnel informatique ait à interrompre son travail habituel.
Les meilleurs outils automatisés d’audit de sécurité informatique
Déployez des systèmes qui contrôlent les activités pour bloquer les pratiques de travail non sécurisées et compilez progressivement la documentation d'audit. Ces outils garantissent que vous êtes constamment conforme avec les normes de sécurité des données et pourrait facilement réussir n’importe quel audit flash.
Notre méthodologie de sélection d'un outil de surveillance de la sécurité informatique
Nous avons examiné le marché des systèmes de surveillance de sécurité et analysé les outils en fonction des critères suivants :
- Évaluation des données de gestion des droits d’accès
- Collecte et corrélation des journaux
- Adaptation de l’évaluation aux normes de confidentialité des données
- Outils d'évaluation automatisés
- Modèles de rapports de conformité formatés
- Un essai gratuit ou un package de démonstration offrant la possibilité d'une évaluation gratuite
- Rapport qualité-prix grâce à un outil d'audit qui fera gagner du temps et est proposé à un prix raisonnable
En gardant ces critères de sélection à l’esprit, nous avons identifié une gamme d’outils que vous devriez considérer pour répondre à vos besoins en matière d’audit de votre système informatique.
1. Gestionnaire de droits d'accès SolarWinds (ESSAI GRATUIT)
Gestionnaire des droits d'accès SolarWindsa été créé avec des procédures de conformité aux normes, c'est donc un outil validé pour se conformer aux RGPD , PCI DSS , HIPAA , ainsi que d'autres normes de sécurité des données. Les rapports d'audit sont intégrés au gestionnaire de droits d'accès, ce qui rend les audits internes et externes plus rapides et plus faciles à réaliser.
Principales caractéristiques:
- Gestion des comptes utilisateurs
- Nettoyage du compte
- Fonctionne sur Active Directory
- Conformité aux normes PCI-DSS, HIPAA et RGPD
- Portail libre-service pour les utilisateurs
Ce logiciel s'installe sur Serveur Windows et il fait attention à Active Directory implémentations, centralisant la gestion des comptes sur l’ensemble des sites et des applications. Il comprend des fonctionnalités d'analyse de compte qui vous permettent d'identifier les comptes non sécurisés et inactifs. Il comprend également un portail libre-service pour permettre aux utilisateurs de mettre à jour leurs propres comptes et il peut appliquer des politiques de sécurité et de renouvellement des mots de passe. Vous pouvez bénéficier d’un essai gratuit de 30 jours de SolarWinds Access Rights Manager.
Avantages:
- Fournit un aperçu clair des autorisations et des structures de fichiers grâce à un mappage et des visualisations automatiques
- Les rapports préconfigurés facilitent la démonstration de la conformité
- Tous les problèmes de conformité sont signalés après l'analyse et associés à des actions correctives.
- Les administrateurs système peuvent personnaliser les droits d'accès et le contrôle dans Windows et d'autres applications
Les inconvénients:
- SolarWinds Access Rights Manager est une plate-forme approfondie conçue pour les administrateurs système dont l'apprentissage complet peut prendre du temps.
SolarWinds Access Rights Manager Commencez un essai GRATUIT de 30 jours
deux. Papertrail (ESSAI GRATUIT)
Piste de papierest un service de gestion des journaux basé sur le cloud qui possède d'excellentes fonctionnalités de gestion de la disponibilité des données. Les messages des journaux sont téléchargés sur le serveur Papertrail par les agents installés sur site. Le serveur de fichiers journaux catégorise, consolide et stocke les messages de journal dans un format standardisé, de sorte qu'il puisse gérer tous les types de messages de journal, y compris ceux générés par Événements Windows et Journal système . Les messages de journal sont disponibles via une visionneuse de fichiers journaux pour la recherche, le tri et l'analyse.
Principales caractéristiques:
- Basé sur le cloud
- Collecte et consolide les événements Windows et Syslog
- Archivage et relance des journaux
Papertrail a un outil très utile archivage mécanisme qui peut ramener les fichiers dans la sphère active pour examen. Il s'agit d'une fonctionnalité très importante requise par les auditeurs des normes de données et en fait un outil d'audit automatisé de sécurité informatique utile.
Avantages:
- Le service hébergé dans le cloud permet d'étendre la collecte de journaux sans investir dans une nouvelle infrastructure
- Chiffre les données en transit et au repos
- La sauvegarde et l'archivage sont effectués automatiquement et font partie du service
- Utilise à la fois la détection des signatures et des anomalies pour une surveillance la plus approfondie possible
- Comprend une version gratuite
Les inconvénients:
- Il faut investir du temps pour explorer pleinement toutes les fonctionnalités et options
La capacité de traitement des données, la période de disponibilité en direct et la capacité de stockage de Papertrail dépendent du forfait que vous choisissez parmi les six. Il y a une version gratuite qui traite 50 Mo de données par mois.
Version gratuite de PaperTrain<50GB/month
3. Analyseur de journaux d'événements ManageEngine (ESSAI GRATUIT)
Analyseur de journaux d'événements ManageEngine fournit des routines complètes de gestion des journaux. Il collecte et consolide les messages de journal, puis les indexe et les classe. Les fichiers journaux sont créés dans une structure de répertoires significative, ce qui les rend faciles d'accès pour l'analyse. Le système comprend également des fonctions d'analyse pour faciliter l'évaluation des événements.
Principales caractéristiques:
- Collecteur et consolidateur de journaux
- Événements Windows, Syslog et journaux d'applications
- Réclamation PCI-DSS, RGPD, SOX, HIPAA et ISO 27001
- Modèles de rapports de conformité
ManageEngine a conçu EventLog Analyzer en tenant compte des normes de protection des données. Il dispose de modèles qui adaptent le système afin qu'il applique et prenne en charge la conformité aux PCI DSS , HIPAA , RGPD , SOX , OIN 27001, et d'autres normes.
Avantages:
- Tableaux de bord personnalisables qui fonctionnent parfaitement pour les centres d'exploitation réseau
- Plusieurs canaux d'alerte garantissent que les équipes sont informées par SMS, e-mail ou intégration d'applications
- Utilise la détection des anomalies pour aider les techniciens dans leurs opérations quotidiennes
- Prend en charge la surveillance de l'intégrité des fichiers qui peut servir de système d'alerte précoce en cas de problèmes de ransomware, de vol de données et d'accès aux autorisations.
- Les fonctionnalités d’audit des journaux médico-légaux permettent aux administrateurs de créer des rapports pour les affaires juridiques ou les enquêtes.
Les inconvénients:
- Mieux adapté à la surveillance continue qu'aux audits ponctuels
Le logiciel pour EventLog Analyzer s'installe sur Serveur Windows et Linux . Vous pouvez l'obtenir sur un30 jours d'essai gratuit.
ManageEngine EventLog Analyzer Commencez un essai GRATUIT de 30 jours
Quatre. Porte Logique
Porte Logique est un outil cloud de gouvernance, de gestion des risques et de conformité (GRC). Parmi les services de LogGate figure un système d'évaluation des risques de sécurité informatique qui peut être adapté à des normes de données spécifiques, telles que RGPD , PCI DSS , et SOX .
Principales caractéristiques:
- Basé sur le cloud
- Conformité RGPD, PCI-DSS et SOX
- L'évaluation des risques
Ce service crée un cadre de risque adapté à votre secteur et aux normes que vous devez respecter. LogicGate peut également produire Lignes directrices pour l'audit de sécurité informatique , qui sont utiles pour un contrôle préalable à l'évaluation ainsi que comme outil pour ceux qui effectuent l'audit lui-même.
Avantages:
- Prend en charge le RGPD ainsi que d'autres normes de conformité populaires
- Comprend un portail client où des tiers peuvent effectuer des demandes de données de manière sécurisée et vérifiable
- Les alertes automatisées peuvent tenir les équipes informées des problèmes de conformité ainsi que des violations
- L'administrateur système peut créer ses propres inventaires d'actifs et appliquer des autorisations personnalisées en fonction de ses besoins.
Les inconvénients:
- Le prix n'est pas transparent
- Doit contacter le service commercial pour une démo, pas de téléchargement gratuit