Si votre organisation se prépare à un audit de cybersécurité, lisez ce qui suit pour connaître les meilleures pratiques permettant d'optimiser les résultats de l'audit. Les audits externes réalisés par des tiers, peuvent être coûteux, il est donc préférable d'être aussi préparé que possible en suivant ces bonnes pratiques.
Qu'est-ce qu'un audit de cybersécurité ?
Un audit de cybersécurité est une méthode qui permet de contrôler et de vérifier que votre entreprise a mis en place des politiques de sécurité pour faire face à tous les risques possibles. Un audit peut être réalisé par des employés de l'entreprise afin de se préparer à la venue d'une organisation externe. Si votre entreprise est soumise à des exigences réglementaires, telles que le règlement général sur la protection des données de l'UE (RGPD), la loi californienne sur la protection de la vie privée des consommateurs (CCPA), la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) ou la norme ISO 27001, vous devrez faire appel à un auditeur externe pour vérifier la conformité et recevoir une certification.
Un audit de cybersécurité est différent d'une évaluation de la cybersécurité. L'audit consiste en une liste de contrôle qui vérifie que vous avez pris en compte un risque spécifique, alors qu'une évaluation teste le risque pour voir dans quelle mesure il est mis en œuvre.
Les bonnes pratiques à suivre pour un audit de cybersécurité
Il existe de nombreuses publications qui fournissent des informations détaillées sur la façon de se préparer à un audit de cybersécurité, mais ce qui suit donne un large aperçu de ce que vous devez faire pour vous préparer à un audit externe.
Élaborer une politique de sécurité
Toute organisation doit disposer d'une politique de sécurité qui définit les règles et les procédures à suivre pour utiliser l'infrastructure informatique de l'organisation, en particulier pour le traitement des données sensibles et privées. Si vous avez déjà élaboré ces politiques, il est temps de les revoir pour garantir la confidentialité et l'intégrité des données, ainsi que l'accès sécurisé aux données, conformément à votre secteur d'activité et aux exigences de conformité en vigueur. Par exemple, votre politique de sécurité devrait identifier :
- Que faut-il protéger ? (par exemple, les données, les applications d'entreprise, le matériel, etc.)
- Comment allez-vous les protéger ? (par exemple, en utilisant des mots de passe)
- Comment l'accès aux données sera-t-il contrôlé et verrouillé ?
- Comment sécuriser les données personnelles ou sensibles ?
- Comment préserver l'exactitude et l'intégrité des données ?
- Comment protéger les données archivées ?
Pour vous aider dans la préparation et/ou la révision de la politique de sécurité de votre organisation, vous pouvez vous référer au modèle de cybersécurité du National Institute of Standards and Technology (NIST).
“Le dispositif NIST est un guide non contraignant, fondé sur des normes, des lignes directrices et des pratiques existantes, destiné à aider les organisations à mieux gérer et à réduire les risques liés à la cybersécurité. En plus d'aider les organisations à maîtriser et à réduire les risques, il a été conçu pour favoriser la communication sur la gestion des risques et de la cybersécurité entre les parties prenantes internes et externes des organisations, améliorer leur capacité à prévenir, détecter et répondre aux cyberattaques.”
Passez en revue et vérifiez vos politiques de cybersécurité.
Il est plus que probable que vous disposiez d'une diversité de politiques de sécurité qui ont été créées à différents moments par différentes personnes. Il est temps de passer en revue chacune de ces politiques et de les croiser pour s'assurer qu'elles sont cohérentes. Par exemple, si votre politique de sauvegarde prévoit des sauvegardes tous les 30 jours, vous risquez de ne pas pouvoir atteindre vos objectifs de perte de données maximale admissible (RPO) selon votre politique de reprise après sinistre, qui dépend de ces sauvegardes. En cas de sinistre, vous pouvez perdre jusqu'à 30 jours de données. Si vos systèmes n'utilisent pas l'authentification multifactorielle, votre politique en matière de mots de passe doit exiger des mots de passe extraordinairement forts et fréquemment modifiés
Voici quelques exemples de ces politiques de sécurité :
Politiques de sécurité des données. Comment faire en sorte que vos données sensibles soient à l'abri des regards indiscrets ? Politiques de confidentialité des données. Comment vous assurez-vous que les données privées restent privées ? Contrôle d'accès au réseau. Comment limitez-vous l'accès au réseau aux seuls appareils autorisés et conformes aux politiques de sécurité ? Les dispositifs du réseau disposent-ils des correctifs de sécurité et de la protection en matière de cybersécurité nécessaires ? Politiques de sauvegarde. Quand et comment votre organisation sauvegarde-t-elle ses systèmes, ses applications et ses données ? Politiques en matière de mots de passe. Quelles sont les politiques de votre organisation en matière de mots de passe et comment les gérez-vous ? Politiques de reprise après sinistre. Votre plan de reprise d'activité est-il exécuté et mis à jour régulièrement pour garantir que vous pouvez récupérer vos systèmes et vos données ? Serez-vous en mesure d'atteindre les objectifs de temps de récupération (RTO) et les RPO prévus ? Politiques de télétravail. Comment votre entreprise garantit-elle la sécurité et la protection des appareils de vos travailleurs à distance ? Politique des employés en matière de courrier électronique et d'Internet. Comment faire en sorte que vos employés utilisent le courrier électronique et le réseau Internet de l'entreprise à des fins professionnelles et ne puissent pas penser que les communications, les données et les fichiers personnels resteront privés ? Comment pouvez-vous vous assurer que les employés comprennent qu'ils ne peuvent pas envoyer de courriels qui harcèlent, menacent ou offensent ? Code de bone conduite. Quelles procédures un employé doit-il accepter avant d'être autorisé à accéder au réseau de l'entreprise ?
Renforcer la structure de votre réseau
Il est important de créer une structure et une conception sécurisées de la topologie du réseau. Par exemple, si vous segmentez votre réseau, les serveurs financiers ne doivent pas se trouver dans le même réseau ou sous-réseau que vos serveurs de recherche et développement ou de ressources humaines. Au contraire, la segmentation de votre réseau en zones plus petites renforce votre sécurité car vous avez compartimenté les services qui peuvent contenir des informations sensibles. Vérifiez également que votre pare-feu et les autres outils de sécurité réseau qui devraient être en place le sont, car ils devront être examinés et audités.
Examiner et appliquer les dispositions relatives à la conformité des entreprises
Si vous êtes soumis à des réglementations, telles que le RGPD, PCI ou HIPAA, assurez-vous d'être conforme aux réglementations applicables et incluez ce sujet dans vos échanges avec vos auditeurs. Les auditeurs interrogeront probablement votre équipe sur les réglementations applicables en matière de conformité, alors soyez prêt avec des documents qui attestent de votre conformité.
Examiner et appliquer les normes liées au lieu de travail des employés
Avant l'audit, assurez-vous que votre politique en matière de courrier électronique et d'Internet est comprise et respectée par tous les employés. Par exemple, les employés ne doivent pas consulter de sites web contenant des contenus criminels ou offensants, tels que des sites de jeux d'argent ou de pornographie. Les employés ne doivent pas stocker de contenu qui viole les lois sur les droits d'auteur. Les employés ne doivent pas utiliser leur adresse électronique professionnelle pour des affaires personnelles. Votre organisation a le droit d'examiner tous les courriels envoyés par les employés ou le contenu stocké sur leurs machines pour vérifier la présence de logiciels malveillants, de fraude ou de harcèlement au travail.
Réaliser un audit interne de cybersécurité
Avant le démarrage d'un audit externe, il est fortement recommandé de tester la non-conformité et les failles de sécurité en effectuant un audit interne à blanc selon les meilleures pratiques décrites ci-dessus. Un audit interne de cybersécurité peut associer un examen manuel des politiques, des processus et des contrôles ainsi que des examens automatisés de l'infrastructure et des systèmes de sécurité clés.
Vous voulez faire cela pour deux raisons. Premièrement, les audits externes sont assez coûteux, allant de quelques dizaines de milliers à des centaines de milliers de dollars. Il est préférable de connaître votre situation en matière de conformité avant de dépenser l'argent d'un audit externe, afin de pouvoir résoudre tout problème en amont. Cette démarche réduira également le stress associé à un audit externe et permettra d'éviter toute mauvaise surprise.
Acronis Cyber Protect : une seule solution pour tous les besoins de cybersécurité
Avec Acronis Cyber Protect, vous pouvez identifier tous les actifs logiciels et matériels installés sur vos machines, et choisir entre des analyses automatiques ou à la demande. En outre, vous pouvez parcourir et filtrer les actifs logiciels/matériels selon plusieurs critères, générer facilement des rapports d'inventaire et supprimer automatiquement les enregistrements lorsqu'une machine est supprimée.
Pour réussir un audit de conformité, votre organisation doit utiliser différents outils et différentes technologies de cybersécurité pour répondre aux obligations légales essentielles en matière de sauvegarde des systèmes, de logiciels antivirus, de reprise après sinistre, etc. De nombreux fournisseurs de logiciels de sécurité les proposent sous forme de solutions ponctuelles. En fait, l'enquête annuelle d'Acronis dans le cadre de la Semaine de la cyberprotection 2021 a révélé que 80 % des entreprises utilisent jusqu'à 10 solutions simultanément pour leurs besoins en matière de protection des données et de cybersécurité, et pourtant, plus de la moitié de ces entreprises ont subi des temps d'arrêt imprévus l'année dernière en raison de la perte de données. La leçon à retenir est que davantage de solutions ne signifie pas davantage de protection.
Acronis est conscient des coûts, de l'inefficacité et des problèmes de sécurité qui découlent de l'utilisation de plusieurs solutions. C'est pourquoi Acronis, pionnier dans le domaine de la cyberprotection, propose une solution de cybersécurité intégrée unique.
Acronis Cyber Protect est une solution unique en son genre qui offre une cyberprotection complète contre les menaces modernes, en associant la sauvegarde et la protection des données, un anti-malware de nouvelle génération basé sur l'IA et la gestion de la protection en une seule solution intégrée. Elle ne ressemble pas aux autres solutions de sécurité qui se contentent de regrouper des outils et des technologies de sécurité, ni aux anciennes solutions ponctuelles isolées pour la sauvegarde, l'antivirus, la gestion des correctifs, l'accès à distance, la gestion de la charge de travail et les outils de surveillance et de reporting. Avec toutes ces technologies regroupées dans une seule solution, Acronis Cyber Protect peut vous aider à vous préparer à un audit externe de cybersécurité.