| Audit
L’importance des audits de sécurité pour une entreprise
Lucas Alderson, auditeur et pentester chez Synetis, présente l’importance – pour les entreprises – d’effectuer des audits de sécurité.
Une lecture à ne pas manquer !
Peux-tu nous présenter ton parcours professionnel ?
Mon parcours professionnel est plutôt atypique, j’ai eu l’occasion d’explorer différents domaines.
Issu d’un baccalauréat scientifique (BAC S), j’ai décidé de poursuivre mes études en faculté de droit. Ne me sentant pas pleinement épanoui dans ce domaine, j’ai ensuite opté pour une licence en Mathématiques et Informatique, à l’Université de Paris 8, avec une majeure en cybersécurité et Intelligence Artificielle (IA). Sur ces entrefaites, j’ai décidé de réaliser une maîtrise en IA mais ce domaine – trop rapproché des mathématiques – ne me convenait pas non plus.
A la suite de ces expériences, j’ai finalement décidé de poursuivre avec un Master spécialisé en cybersécurité.
Celui-ci avait deux grands bénéfices : le fait qu’il soit enseigné à la fois dans un CFA (Centre de Formation des Apprentis) et dans une faculté, ainsi que le fait que cette formation soit réalisée en alternance. Cette formation a été très enrichissante, et notamment grâce à la qualité des enseignements. Nous avons eu la chance d’étudier aux côtés de professionnel.elle.s d’horizons variés. Certain.e.s provenaient du Ministère des Armées, de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ou encore de l’IRCGN (Institut de Recherche Criminelle de la Gendarmerie Nationale) – ce qui était très instructif et m’a permis d’avoir une multitude d’approches sur divers sujets cyber.
Dans le cadre de ce CFA, j’ai eu la chance de pouvoir réaliser mon alternance au sein d’un cabinet de conseil et d’expertise en cybersécurité – reconnu en France, comme à l’étranger. En tant que consultant, je m’occupais de plusieurs sujets comme la reverse de malware, la recherche et mise en place de protection contre les menaces dites « Zero Day » ou « 0day », la mise en place d’audits de sécurité – qu’on appelle aussi PenTest – ainsi que la chefferie de projet. Ce fut une formation très complète !
A la fin de mon alternance, j’ai continué mon parcours professionnel dans cette même entreprise et eu la chance de pouvoir exercer dans différentes régions. Toujours en tant que consultant, je me suis spécialisé dans la sécurité offensive (Pentest et RedTeam). Je travaillais également sur tout un volet humain, par le biais de sensibilisation et de formation, au sein des écoles ou chez des clients.
Après ces nombreux événements, me voici Synetisien – depuis le début de l’année 2023 – en tant qu’auditeur.
Pourquoi avoir choisi de faire carrière dans l’audit ?
L’audit est un domaine tentaculaire, au sens où il permet de toucher tous les métiers de la cyber – sans pour autant être au cœur du métier en question. L’audit est également un domaine d’expertise où rien ne se ressemble, et où la routine n’existe pas. C’est ce que j’apprécie au sein de mon poste !
Ce métier exige également de la curiosité, il est nécessaire de toujours être en veille afin d’être sans cesse au courant des nouvelles techniques ou technologies. Ce poste demande donc beaucoup d’investissement personnel, cela me stimule grandement.
De plus, l’audit touche tous les secteurs d’activité, et cela me donne l’occasion de m’enrichir de diverses compétences annexes grâce aux missions que nous réalisons pour nos clients.
Quel est ton quotidien en tant qu’auditeur ?
Mon quotidien n’est jamais le même. Un jour, mon activité peut être de réaliser des missions d’audit pour un acteur du domaine bancaire et, le lendemain, je peux effectuer des missions de Red Team pour un autre client où nous allons venir vérifier tous les aspects de sa sécurité (informatique, humaine et physique).
En tant qu’auditeur, mon rôle est de m’adapter à chaque besoin de mes clients. De plus, l’approche sera différente selon le secteur qui sera audité.
Quel est l’importance, pour une entreprise, de réaliser des audits de sécurité ?
Pour une entreprise, ne pas réaliser d’audit de sécurité, c’est malheureusement la compromission – de son Système d’Information (SI) – assurée. Nous l’avons fortement constaté lors de l’épidémie de COVID19 où le nombre de cyberattaques a littéralement explosé. Et ça ne s’arrête pas là !
Il y a eu une prise de conscience, de la part des entreprises, de l’enjeu énorme qui gravite autour des audits SSI.
Malheureusement, c’est souvent une prise de conscience à postériori.
Je me souviens particulièrement d’une mission où nous avons été appelés à la suite d’une attaque. Un hôpital supervisait les soins intensifs grâce à son SI et celui-ci, suite à une attaque, s’est retrouvé à l’arrêt. Je vous laisse imaginer les dégâts…
Pour revenir à la question, les enjeux sont multiples. Sans effectuer d’audits de sécurité, l’entreprise ne connaîtra pas son niveau de maturité.
Les cyberattaques peuvent donc avoir de nombreuses conséquences sur les entreprises :
- Des conséquences financières : qui dit cyberattaque dit arrêt de la production. De plus, en cas de fuite de données, sanctionnée par la loi RGPD, l’entreprise peut encourir une amende allant jusqu’à 4 % de son chiffre d’affaires ;
- Des conséquences morales : lorsqu’une entreprise se fait compromettre, c’est la confiance qui s’écroule. Certains partenaires ne souhaitent alors plus investir dans celle-ci ;
- Des conséquences humaines : savoir que ses données personnelles sont compromises n’est jamais simple à digérer. Le moral des équipes peut donc être au plus bas.
Grâce à un audit de sécurité, nous pouvons mettre en évidence les failles du SI ou des mauvaises pratiques utilisateurs. Celles-ci seront alors communiquées à l’entreprise, qui pourra mettre en place les actions nécessaires afin d’éviter toute déconvenue.
Si une entreprise souhaite continuer de « vivre », celle-ci doit s’adapter. Ne pas réaliser d’audits de sécurité, c’est se tirer une balle dans le pied !
Quelques petits conseils qui pourraient aider les entreprises : changez régulièrement vos mots de passe, restez à l’affût de potentielles menaces, éradiquez les mauvaises pratiques utilisateurs et sensibilisez vos collaborateurs.
Quels sont les enjeux des missions de RedTeam ? Quels en sont les avantages pour une entreprise ?
Les enjeux d’une mission Red Team sont multiples.
Nous allons tenter d’accéder, par tous les moyens, à des trophées (coffre-fort physique ou numérique, accès au back-office d’un site e-commerce, obtention d’un accès Domain Admin, compromission de l’Active Directory (AD), accès à la messagerie d’un VIP, accès à un Enterprise Resource Planning (ERP), etc.).
Ces trophées, contextualisés, permettent d’illustrer concrètement des risques réels pouvant impacter le client. Une mission dite RedTeam est alors une attaque très élaborée qui montrera les points de faiblesse d’une entreprise – comme d’une organisation.
Ces missions font prendre conscience aux différents acteurs de l’entreprise (employés, dirigeants, partenaires) que tout est lié, et qu’une attaque ne se cantonne pas à du DDoS ou à du phishing.
L’avantage premier, pour les entreprises, d’une mission Red Team est de connaître ses failles afin de pouvoir les patcher.
Selon moi, il est important pour des consultant.e.s d’obtenir des certifications. Celles-ci sont nécessaires pour gagner en technicité et être reconnu.e auprès des professionnel.le.s que nous rencontrons en missions. Ces certifications approuvent aussi notre expertise dans un domaine spécifique, et permettent un maintien à jour de nos connaissances dans un monde cyber en constante évolution.
L’obtention de ces certifications me permet de maintenir un esprit évolutif et, ainsi, de pouvoir rester compétitif dans mon domaine.
Pour toi, quel est le top 3 des conseils à donner à une entreprise pour maîtriser efficacement ses risques ?
Voici les trois conseils que je donnerai à une entreprise pour qu’elle puisse maîtriser efficacement ses risques :
- L’évaluation des risques encourus : cette étape permet de comprendre les vulnérabilités, les menaces qui sont confrontées à l’entreprise. Cette évaluation permet également d’estimer les risques et de les catégoriser selon leurs impacts potentiels. Finalement, ces analyses permettront aux entreprises de traiter leurs risques plus efficacement, et de pouvoir y faire face efficacement grâce à une préparation adaptée ;
- La mise en place de politiques et chartes de sécurité : afin de maîtriser ses risques, une entreprise doit aussi mettre en place des politiques, procédures et chartes de sécurité. Il est nécessaire de les partager à tous les employé.e.s de l’organisation – afin qu’ils puissent en prendre connaissance et les appliquer. Ces politiques doivent être revues périodiquement dans le cadre d’un processus d’amélioration continue ;
- La sensibilisation des employé.e.s : il est très important de sensibiliser ses équipes et de les former aux bonnes pratiques cyber pour qu’ils puissent appliquer correctement ces règles de sécurité.
Peux-tu nous citer un sujet d’actualité qui peut avoir un impact important pour la gestion des risques cyber ?
Plusieurs sujets me viennent à l’esprit. Tout d’abord, le sujet des ransomwares est toujours un sujet d’actualité dans le monde de la cybersécurité. Ce type d’attaque qui permet de bloquer le Système d’Information d’une entreprise peut avoir un réel impact pour la gestion des risques cyber. L’activité de celle-ci pouvant être, en cas d’attaque, totalement à l’arrêt.
De nos jours, nous pouvons constater une prolifération des logiciels centrés sur l’Intelligence Artificielle (IA), avec comme exemple l’apparition de la plateforme ChatGPT. Ce type de plateforme permet une augmentation des attaques cyber car, grâce à elles, les hackers peuvent s’introduire plus aisément dans un SI vulnérable.
Quels sont les trois conseils que tu donnerais à un futur auditeur pour la parfaite réalisation d’une mission Red Team ?
Il y a de nombreux conseils que je pourrai donner à un.e futur.e auditeur.rice, mais voici les trois principaux. Une mission Red Team nécessite :
- Beaucoup de préparation ;
- Du calme et du recul en toute circonstance ;
- Être prêt.e à toute éventualité.
Une mission Red Team, c’est 80 % de préparation pour 20 % d’action.
Ce que j’entends par la préparation, c’est élaborer des scénarios, effectuer des attaques sur la surface externe (via les réseaux, Internet, etc.) et préparer l’environnement qui va être attaqué (se renseigner sur les collaborateurs, connaître la disposition des locaux etc.).
Réaliser tout ce travail de préparation permettra à l’auditeur ou l’auditrice d’aborder sa mission sereinement en pouvant compter sur ses préparatifs pour la réaliser à bien, qu’importe les déconvenues qui se présenteront.
Camille Jean-Baptiste
Chargée de Communication