01-Informatique (Par Jérôme Saiz) - In fine, les méthodes d'audit de la sécurité informatique sont à la base d'une politique efficace et, bien souvent, des choix opérationnels de gestion des risques.

Rien ne semble plus subjectif que le niveau de sécurité informatique d'une entreprise. Deux organisations au périmètre identique peuvent avoir des visions très différentes de ce qui est critique pour leur activité, et de l'efficacité des mesures prises pour pallier leurs risques opérationnels. Et cela se complique lorsqu'il s'agit de mesurer à intervalles réguliers le niveau d'exposition à ces risques ou de tenter de le maintenir dans le temps : la subjectivité n'a plus sa place dans ces considérations.

C'est là qu'interviennent les méthodes d'audit de sécurité des systèmes d'information. Leur rôle consiste à mesurer les pratiques de sécurité existantes par rapport à un référentiel extérieur, dit de « bonnes pratiques » , puis de faire l'inventaire des risques qui pèsent sur l'activité de l'entreprise. Toute l'intelligence de la méthode est alors, en croisant ces deux mesures, de mettre en évidence des risques importants, qui ne seraient pas couverts par les pratiques de sécurité en place. Et, bien sûr, de proposer des parades adaptées.

« Très schématiquement, on réalise un audit pour mettre en évidence les pratiques de sécurité de l'entreprise, puis une analyse de risque afin de savoir si ces pratiques correspondent à ses objectifs de sécurité » , explique Paul Grassard, consultant sécurité chez XP Conseil. En aval, ces méthodes peuvent aussi produire un plan de sécurité, susceptible d'inspirer une politique de sécurité et de guider des choix opérationnels à plusieurs années. Et ce en évitant, par exemple, d'investir dans des outils qui protégeraient d'un risque dont l'impact serait faible, ou qui couvriraient une partie non critique du système d'information.

Plusieurs méthodes permettent de procéder à de tels audits. En France, les plus connues sont Mehari, créée par le Clusif (Club de la sécurité des systèmes d'information français), Ebios (de la Direction centrale de la sécurité des systèmes d'information) et MV3 (de CF6, racheté par Telindus). On rencontre également la méthode anglo-saxonne Cobit (pour ses capacités de contrôle et de présentation de l'existant). Enfin, les grands comptes peuvent recourir à la méthode anglaise CRAMM ­ exhaustive, mais plus lourde que les précédentes (3 000 points de contrôle).

Dresser une cartographie des pratiques de sécurité - Toutes ces méthodes se présentent sous la forme de documents - questionnaires, base de connaissances -, faciles à personnaliser. C'est d'ailleurs toute la valeur ajoutée du consultant qui réalise l'audit, lorsque l'entreprise ne s'en charge pas elle-même, que de sélectionner le sous-ensemble de questions ou de scénarios de risque pertinents pour l'audité. Les réponses à ces questions servent à dresser la cartographie des pratiques de sécurité. La méthode aide également à classer les ressources de l'entreprise (identifier les processus vitaux) et propose des métriques afin de chiffrer les conséquences de leur perte (partie analyse de risque). Enfin, elle fournit un moteur d'analyse pour corréler l'ensemble.

Les méthodes doivent leur succès à leur souplesse - Si les méthodes d'audit de sécurité rencontrent un succès croissant auprès des entreprises, c'est en partie grâce à leur souplesse. Elles peuvent être appliquées à des sociétés de toute taille, dans tout domaine d'activité. « Mehari est bâtie autour d'un moteur et de bases de connaissances. Le Clusif en fournit aujourd'hui une, axée à 90 % sur l'informatique. Mais rien n'empêche de traiter les risques opérationnels de tout type en reconstruisant complètement la base » , explique Annie Dupont, consultante et présidente de la Commission méthode du Clusif. Avant d'ajouter que ces méthodes doivent aussi leur succès à l'importance prise par le système d'information dans le fonctionnement quotidien de l'entreprise. « Aujourd'hui, lorsque l'informatique tousse, c'est toute l'entreprise qui tousse » , conclut-elle. Les méthodes font alors office de médecine préventive.

Source : 01-Informatique (Par Jérôme Saiz)