Un audit de la sécurité informatique obligatoire

Ces dernières années, les cyberattaques sont devenues de plus en plus intenses et agressives. Aucune administration, entreprise ou société n’est réellement à l’abri d’une cyberattaque, même si la plupart s’y sentent préparées. Car il y a toujours au moins une faille dans la prévention, et l’ingéniosité des hackers pour découvrir cette lacune est sans limite. Il est donc important que les organisations mettent tous les atouts dans leur jeu, non seulement pour se prémunir contre une attaque informatique, mais également, si l’attaque se produit, pour s’en relever le plus vite et avec le moins de dommages possible.
Une entreprise victime d’une attaque de cybersécurité doit pouvoir être opérationnelle dans les 12 à 24 heures qui suivent le problème afin de limiter l’impact que cela peut occasionner.

La rapidité et l’efficacité de la réaction sont cruciales. Les équipes d’informaticiens doivent donc être formées pour réagir le plus rapidement possible et un plan B doit avoir été mis en place pour toutes les équipes de techniciens, disponibles 24h sur 24h.
Exercices préventifs Certaines vérifications simples mais efficaces peuvent être effectuées à l’avance, afin d’éviter un stress supplémentaire lorsque la crise survient.

Ainsi, tester les backups : cela peut sembler une précaution
élémentaire mais l’expérience montre que les sauvegardes sont souvent incomplètes ou défectueuses.
Pire, les sauvegardes elles-mêmes peuvent devenir un risque et contenir des «chevaux de Troie ».

Autre exemple d’exercice préventif : un redémarrage à froid des ordinateurs avec des nouveaux disques de stockage permet de vérifier les capacités des équipes et d’évaluer l’efficacité de leur action.

De même, il est indispensable de vérifier en temps utile la conformité des données avec les directives du RGPD (Règlement Général sur la Protection des Données).
Un certain nombre de normes élémentaires et particulières ont déjà été édictées par l’Europe.

Une nouvelle directive, NIS 2 (Network and Information Security), a été officiellement approuvée le 10 novembre 2022.

NIS 2 établit un cadre réglementaire et obligatoire pour améliorer la sécurité des infrastructures critiques et des services numériques essentiels. Le champ d’application de la Directive NIS 2 s’est grandement élargi par rapport à la directive NIS 1.

Il appartiendra ensuite aux États membres de concrétiser les obligations, et, s’ils le souhaitent, d’aller au-delà de la directive NIS-1 et d’étendre l’assise préparée au cours des trois dernières années.

Confiance en la gestion des parties prenantes. (Stakeholders)

Il nous semble cependant que la vérification de la conformité des organisations aux principaux standards de sécurité pourrait être encore renforcée grâce à la généralisation d’un audit de la sécurité des infrastructures informatiques.

Selon nous, cet audit, déjà demandé par de nombreuses
entreprises, sera obligatoire pour chaque entreprise ou administration.
Cet audit informatique devrait être joint au rapport des réviseurs d’entreprise. Cela aurait l’avantage d’éclairer les actionnaires et les tiers sur les risques encourus par la société, non seulement sur le plan financier, mais aussi sur le plan de la cybersécurité.
En effet, si les audits des comptes annuels ont une incidence cruciale pour les tiers et pour les actionnaires, une cyberattaque peut mettre à néant en quelques jours des années de travail et avoir des conséquences très graves pour la survie de l’entreprise.
L’audit informatique permet d’assurer la sécurité des données, de garantir la conformité réglementaire,
d’évaluer et d’atténuer les risques, d’améliorer l’efficacité opérationnelle, de gérer les actifs informatiques et de prévenir les fraudes.

Au même titre que l’audit financier, voire davantage, l’audit informatique aide à maintenir la confiance des stakeholders, à protéger la réputation de l’organisation et à éviter les pertes financières et les sanctions légales. Autant d’éléments indispensables à la stabilité des organisations.

Petit lexique des attaques informatiques les plus courantes

1. Malware :

Les attaques de malware impliquent l’utilisation de logiciels malveillants tels que les virus, les vers, les chevaux de Troie, les ransomwares, etc. Ces programmes sont conçus pour infecter les systèmes informatiques, voler des données, perturber les opérations normales ou extorquer de l’argent.

2. Attaques par déni de service (DDoS) :

Les attaques DDoS visent à rendre un site web, un service en ligne ou un réseau indisponible en submergeant les serveurs cibles avec un trafic excessif.
Cela entraîne une surcharge du système, empêchant les utilisateurs légitimes d’accéder aux ressources.

3. Ingénierie sociale :

Les attaques d’ingénierie sociale exploitent la manipulation psychologique
pour tromper les utilisateurs et les inciter à divulguer des informations sensibles, telles que des mots de passe, des informations d’identification ou des données confidentielles. Ces attaques peuvent se produire par le biais de techniques de phishing, d’hameçonnage, etc.

4. Attaques par force brute :

Les attaques par force brute consistent à essayer toutes les combinaisons possibles de mots de passe ou de clés pour accéder à un système. Elles sont généralement utilisées pour tenter de compromettre des comptes d’utilisateurs ou de contourner les mécanismes de sécurité.

5. Attaques de l’homme au milieu (MITM) :

Dans ce type d’attaque, un attaquant s’insère entre les communications légitimes entre deux parties et intercepte ou modifie les données
échangées. Cela permet à l’attaquant d’espionner, de voler des informations ou de mener d’autres actions malveillantes.

6. Attaques de l’injection SQL :

Les attaques par injection SQL exploitent les vulnérabilités des applications web qui n’effectuent pas correctement la validation des entrées de l’utilisateur. Les attaquants peuvent insérer du code SQL malveillant dans les requêtes pour manipuler les bases de données ou accéder à des informations confidentielles.