Pourquoi les entreprises échouent-elles leur audit de sécurités?

Ces derniers temps, je réalise beaucoup d’audits (interne ou externe)de conformité et principalement pour les normes PCIDSS et ISO. (22301, 27001, 27017, 27018, 27035, 27701)

J’aime beaucoup ce travail, mais je constate que beaucoup d’entreprises échouent pour différentes raisons dans la gestion de leur programme de sécurité.

La raison principale que je constate est que les entreprises n’ont pas réalisé l’ampleur du travail nécessaire et le degré d’implication qu’il doit faire pour que ce projet réussisse.

Bien sûr, je parle de conformité à une norme, mais cela inclut la sécurité de l’organisation pour atteindre ses objectifs d’affaires — Dans un tel cas, lorsqu’il ne se passe rien en sécurité de l’information, c’est une bonne nouvelle, c’est l’objectif ultime. Les experts en sécurité souhaitent que les opérations de l’entreprise soient calmes, prévisibles et qu'elles se réalisent comme planifié.

Mais la vie d’une entreprise n’est pas toujours calme, les gestionnaires ont des objectifs d’affaires qui n’incluent pas toujours la sécurité de l’information.

Certaines entreprises sont en forte croissance, ce qui est un beau problème, mais qui apporte son lot de stress afin de gérer cette croissance, soit par l’apparition de nouveaux produits ou par l’augmentation de la capacité des systèmes, et parfois de manière urgente.

D’autres entreprises ont des difficultés à d’autres niveaux, que ce soit en ressources humaine, financière ou pour opérationnaliser leur plan de match, on comprendra que la sécurité de l’information ne doit surtout pas bloquer leurs efforts de croissance.

Pour les auditeurs, il est important de tenir compte de la réalité de l’entreprise et de s’y adapter. Par contre, un travail d’évaluation de conformité doit être fait malgré tout.

Top des non-conformités découvertes

J’ai donc regardé mes rapports d’audits des derniers mois et voici les principales non-conformités observées pour différentes normes.

• L’organisation ne connaît pas ses enjeux interne et externe pour bien déterminer ses besoins en matière de sécurité de l’information ou ceux-ci ne sont pas déterminés clairement;
• Concernant la gouvernance, il n’y a pas de corrélation entre les objectifs du programme de sécurité et les mesures de sécurité prises par les équipes, attention si ce n’est pas écrit alors ça n’existe pas.
• Il manque régulièrement de diagrammes réseau pour avoir une vue complète du réseau;
• L’entretien des systèmes n’est pas planifié, il manque de calendrier des activités périodique pour prévoir et organiser les travaux de maintenance;
• Les audits internes manquent de détails, sur ce qui a été évalué et le résultat de l’évaluation des auditeurs;
• La gestion des fichiers n’est pas contrôlée, les documents à protéger se retrouvent partout dans l’organisation sans protections, savez-vous où sont vos documents confidentiels;
• La portée est mal comprise par les intervenants, à savoir les systèmes inclus ou exclus est laissé à la discrétion de tous. Cela a pour conséquence que certains systèmes n’ont pas les mêmes niveaux de sécurité pour des raisons aléatoires. La portée assure la visibilité de la direction sur la posture de sécurité. L’expression consacrée serait “Garbage in, Garbage-out” puisque la direction ne dispose donc pas d’une vision réelle de la situation.
• Une politique de chiffrement est absente; c’est quoi déjà du chiffrement ou une gestion de clef?

Pourquoi ces non-conformités, quelles sont les causes?:

• Les entreprises ne sont pas prêtes, les opérations sont réalisées à la dernière minute;
• Le système de gestion n’a pas été actif durant l’année, les registres sont un peu partout dans des courriels et différents systèmes de tickets.
• La direction ne s’implique pas, la révision des documents et l’approbation de ceux-ci sont faites rapidement et sans véritable appropriation.
• Incompréhension des objectifs des mesures de sécurité.

Alors, comment réussir son audit à tous les coups?

Pour réussir ses audits, simplement prenez la norme que vous souhaitiez respecter, puis découper celle-ci par item ou mesure de sécurité.

Répondez à chaque mesure de sécurité par 3 items, soit:

• Les documents et procédures qui s’appliquent à la mesure de sécurité afin de ne pas les chercher lorsque viendra le jour de l’audit.
• La situation de votre entreprise vis-à-vis de cette mesure de sécurité, votre interprétation et votre compréhension de la mesure de sécurité en lien avec votre entreprise.
• Les plans d’amélioration en cours de mise en œuvre et futur.

Souvenez-vous que l’objectif d’un auditeur est d’obtenir une assurance raisonnable, si “Oui ou non” la mesure de sécurité a été en place et continue de l’être.

Il évalue si vous avez le niveau de maturité, les compétences et la capacité nécessaire pour maintenir une mesure de sécurité en place.

Par exemple, une mesure de sécurité, consiste d’avoir en place une application contre les logiciels malveillants, devrait être répondue par l’entreprise en présentant un tableau de bord de cette application de protection. Sans ce tableau de bord, comment confirmer que tous les postes de travail disposent de la protection adéquate?

En conclusion, faites ce que vous dites ! Crée vos politiques et directives de sécurité en fonctions de vos opérations. Ne crée pas des politiques plus solides/contraignantes que votre réalité. Surtout dans les cas de gabarit obtenu sur internet, puisque ceux-ci visent souvent la perfection, ce qui est rarement votre réalité.