Audit de pratiques

L’Audit de Pratiques de Cybersécurité

L’audit de pratiques de cybersécurité consiste à analyser ses pratiques pour évaluer son niveau de protection (et donc de risque) en termes de cybersécurité.

Le résultat de cet audit est une description fidèle de la politique de cybersécurité de l’organisation.

Le contenu de l’audit de pratiques de cybersécurité

L’audit de pratiques de cybersécurité lui-même

L’audit de pratiques de cybersécurité analyse les pratiques qui interviennent dans le risque cyber.

Il analyse les pratiques susceptibles de créer des portes d’entrée pour les cyber-délinquants et celles qui constituent des protections contre les attaques.

L’audit couvre les domaines suivants :
– l’organisation du système d’information: machines, réseaux, logiciels, wifi…
– la gestion des accès, notamment des administrateurs, cibles privilégiées des attaques,
– les outils de protection : pare-feu, VPN, mots de passe…
– la formation des personnes,
– les analyses de risque et l’anticipation des scénarios de crise,
– les sauvegardes et les processus de restauration des données.

L’analyse des pratiques comprend donc des éléments :
– liés au système d’information tels que les logiciels ou le matériel,
comportementaux tels que les pratiques des employés ou leur niveau de compétence,
organisationnels tels que la préparation à un sinistre en cas de cyber-attaque réussie.

Cette analyse procède généralement par un questionnaire. Il est souvent nécessaire d’impliquer plusieurs personnes pour avoir une vision claire de sujets pour certains très techniques et pour d’autres plutôt humains (formation, comportements face à un danger, gestion des entrées et sorties de personnel…).

Le résultat de cette analyse est une description détaillée de votre politique de cybersécurité.

La politique de cybersécurité

La politique de cybersécurité est la description de l’ensemble des pratiques qui contribuent à la sécurité de l’organisation face aux cyber-attaques.

Chaque entreprise, administration ou collectivité, a une politique de cybersécurité, même si parfois elle n’en a pas vraiment une vision claire…

Grâce à l’audit de cybersécurité, cette vision devient très précise et peut être partagée entre tous, y compris les employés et les clients.

Les bénéfices de l’audit de pratiques de cybersécurité

1. Connaître son niveau de protection

Connaître son niveau de protection (et donc son niveau de risque) permet de prendre des décisions éclairées.

La première décision étant : faut-il agir pour mieux se protéger et avec quelle urgence ?

Plutôt que d’agir par impulsion sous l’effet des médias, d’idées impromptues qui, même si elles sont bonnes, ne constituent pas une politique cohérente, il est important que le dirigeant puisse avoir une vision globale claire et prenne des décisions pesées et argumentées.

La cybersécurité concerne toutes les organisations, mais une organisation doit-elle agir tout de suite de façon massive ? Y a-t-il quelques éléments auxquels pallier sans délai ? des lacunes à combler immédiatement ?

L’audit de pratiques permet à l’organisation de hiérarchiser ses actions, et de les planifier en tenant compte de son niveau de risque.

2. Définir des modalités intelligentes d‘action

En cybersécurité, il est illusoire de rechercher la perfection sur tous les points. Cela demanderait des moyens humains et financiers gigantesques, et généralement sans rapport avec la réelle menace.

Ceci n’est pas spécifique de la cybersécurité. Si une bonne qualité est la base pour survivre et l’excellence un gage de réussite, la perfection représente souvent un excès qui peut mettre l’organisation en danger par certains de ses effets (coût élevé, négligence des autres sujets,…).

Globalement la cybersécurité n’est pas le métier de l’organisation. C’est une composante inévitable de la digitalisation, elle-même stratégiquement indispensable. La cybersécurité doit juste être traitée correctement pour permettre à l’entreprise d’exercer son métier.

C’est pourquoi il faut cibler ses efforts. Pour y passer le moins de temps et d’énergie possible, avec un maximum de réussite.

Pour cibler ses efforts, mieux vaut travailler sur ses points faibles. Ce sont d’ailleurs les portes d’entrées privilégiées par les cyber-agresseurs. Peu importe que vos points forts soient très bons, excellents ou parfaits, c’est par vos points faibles qu’entreront les pirates. Ces points faibles sont donc naturellement les premiers axes d’amélioration de votre protection.

L’audit de pratiques, en comparant tous les composants de votre protection, vous permet d’identifier vos points faibles et donc d’avoir une action intelligente, c’est-à-dire avec un maximum de rentabilité.

3. Rassurer ses équipes sur la cybersécurité

Le bruit médiatique autour de la cybersécurité est important. Les nombreux exemples d’entreprises ou collectivités attaquées, partout en France, ont un retentissement important. Ce n’est plus une lointaine administration ou une grande entreprise de La Défense qui est attaquée, mais un hôpital proche ou un fleuron local de l’industrie…

Les employés ne peuvent s’empêcher de faire un parallèle avec leur propre situation. Qu’arriverait-il si mon organisation était attaquée ? Mon emploi serait-il en danger ? Saurions-nous réagir comme il faut ? Sommes-nous vraiment protégés ?

C’est une angoisse souvent sourde, inavouée, mais réelle.

Dans cette situation, comme pour le reste pourrait-on dire, le dirigeant doit être la figure d’autorité et de compétence qui rassure les équipes et les met dans des conditions leur permettant d’effectuer sereinement leur travail.

Ce n’est pas toujours simple, mais c’est un rôle qu’il doit assumer. Ce rôle du dirigeant est essentiel dans toute organisation.

La vision que le dirigeant retire de l’audit de pratiques lui permet de remplir ce rôle en lui redonnant la main sur la cybersécurité, en lui permettant d’afficher une maîtrise réelle du sujet, des enjeux et de comment traiter ce sujet.

Quelles que soient les difficultés liées à la cybersécurité, elles sont alors identifiées, hiérarchisées, organisées dans un planning d’actions. La confiance fait reculer l’angoisse et permet à l’entreprise d’accomplir correctement son métier (qui n’est pas la cybersécurité rappelons-le…).

4. Rassurer ses clients sur la cybersécurité

En cybersécurité, les problèmes d’une entreprise touchent rapidement tout son environnement, à commencer par ses clients :
– elle détient souvent des données clients, qui peuvent être compromises à l’occasion d’une attaque (volées, voire divulguées),
– elle détient parfois des accès à des bases de données clients, si ces accès sont forcés par un pirate, il peut alors attaquer le client par cette porte ouverte,
– le blocage de la production peut impacter ses clients, notamment ceux fonctionnant en flux tendus avec peu de fournisseurs (une tendance fréquente dont on voit là une des limites).

Ceci s’applique bien entendu à la production matérielle, mais aussi à la production intellectuelle. Que ce soit pour un avocat qui se verrait voler des données confidentielles de ses clients, un expert-comptable qui n’aurait plus accès à ses données ou une société de production digitale qui perdrait les sauvegardes de ses projets antérieurs…

Dans ce contexte, on voit se développer des exigences des donneurs d’ordre concernant leurs sous-traitants. Qui vont descendre en cascade à travers les niveaux de sous-traitance. C’est logique.

Ces donneurs d’ordre vont imposer des niveaux de plus en plus élevés de protection aux prestataires qui détiennent des données clés leur appartenant.

Imaginons un donneur d’ordre face à des réponses similaires de deux fournisseurs potentiels. Un volet cybersécurité structuré et précis inspirera confiance, tant pour la cybersécurité elle-même que pour la capacité de ce fournisseur à maîtriser le digital et à être rigoureux et organisé y compris sur des sujets relativement nouveaux.

En tant que fournisseur, cela peut mériter d’avancer par anticipation et décision plutôt que sous la contrainte…

Les étapes de l’audit de pratiques de cybersécurité

Audit de pratiques de cybersécurité : questionnaire

Les modalités de l’audit sont assez simples : répondre à une liste de questions balayant l’ensemble des composants de la cybersécurité. Cela peut aller de la gestion des mots de passe d’un salarié qui quitte l’organisation à la politique concernant les clés USB ou aux consignes en cas d’ouverture d‘un mail douteux par erreur…

Cela concerne donc le responsable informatique, ou DSI, peu importe quel titre lui a été attribué… mais aussi le responsable des Ressources Humaines, voire les managers des services pour avoir une vision ce qui se passe réellement sur le terrain.

Le dirigeant n’a pas vocation à remplir seul le questionnaire car de nombreuses questions peuvent concerner des actions déléguées à d’autres. La vocation du dirigeant est de faire remplir ce questionnaire. Car pour lui, savoir est une nécessité pour décider.

Audit de pratiques de cybersécurité : objectifs

Une fois le questionnaire rempli, on distingue trois phases :
– l’identification des points faibles de l’entreprise,
– la définition d’objectifs pour chacun de ces points faibles, en termes pratiques à améliorer, sous la forme d’une feuille de route,
– le suivi de la mise en place et de l’adoption de ces nouveaux process.

Identifier ses points forts peut être gratifiant pour les équipes et éviter un découragement par anticipation[1], mais c’est techniquement peu utile pour progresser. Etre trop positif lors de cette phase est même démobilisateur (« si on est bon, inutile de faire des efforts »).

L’identification des points faibles suppose de pouvoir comparer des éléments parfois sans rapport entre eux. Pour cela il faut disposer d’un indice de gravité de la pratique en termes de risque de cybersécurité. Ce travail très fastidieux ne peut pas être accompli par l’entreprise elle-même, il nécessite l’intervention d’un expert en cybersécurité dont l’expérience lui permet d’évaluer le risque relatif lié à chaque pratique.

[1] Le découragement par anticipation est une forme de perte d’envie liée à la difficulté perçue ou imaginée de la chose à accomplir et d’un manque de confiance en soi. Il amène au renoncement sans même essayer. On peut l’éviter au moins en partie en renforçant la confiance en soi des individus.

Audit de pratiques de cybersécurité : la feuille de route

La définition d’objectifs et le suivi des actions sont des phases nécessaires pour que l’audit ait une utilité.

« Savoir sans agir n’est pas diriger. Diriger, c’est agir en se basant sur les faits. »

Un audit doit donc fournir une feuille de route d’actions concrètes à accomplir pour atteindre un niveau de protection supérieur. Le suivi de la réalisation de ces actions permet de s’assurer que cette feuille de route a été respectée et n’est pas passée sous le dessous de la pile des urgences…

A cet effet le rôle du dirigeant est central. Une fois la feuille de route entre les mains des acteurs de terrain (responsable informatique et responsable des ressources humaines principalement), ceux-ci rendent des comptes au dirigeant qui vérifie ainsi que les décisions sont suivies d’action.

L’audit de pratiques permet de formaliser toute cette démarche et d’entrer dans un processus qui, bien qu’exigeant, est vécu sereinement par tous car factuel et organisé.

Les audits de suivi

Des audits de suivi sont organisés régulièrement. Ils permettent d’améliorer progressivement le niveau de protection, mais aussi de vérifier que les pratiques sont maintenues et résistent au temps (nouvelles personnes, matériels, logiciels… mais aussi usure des bonnes pratiques).

Intéressé ?
Demandez un rendez-vous téléphonique

Cybersecurite expert-comptable