Dans un contexte où les cyberattaques se multiplient, l’audit de sécurité web est devenu une étape cruciale pour toute organisation disposant d’une présence en ligne.
Cette démarche méthodique permet d’identifier les vulnérabilités, d’évaluer les risques et de mettre en place des mesures de protection adaptées.
Découvrons ensemble les étapes essentielles pour réaliser un audit de sécurité web efficace et professionnel.
Les fondamentaux de l’audit de sécurité web
Pour mieux cerner le sujet relatif à l’audit de sécurité web, il est utile de s’attarder sur ces concepts fondamentaux.
L’audit de sécurité web concrètement renvoie à un processus méthodique d’évaluation des systèmes et réseaux informatiques d’une entreprise afin de s’assurer de leur conformité et de leur sécurité. Selon le cas, il peut s’agir d’un :
- Audit de boîte noire: lorsque l’auditeur, sans accès aux systèmes, simule une cyberattaque et teste la capacité de l’entreprise à détecter et à répondre à une telle attaque ;
- Audit de boîte banche: lorsque l’auditeur accède complètement aux systèmes et informations de la structure pour évaluer de manière approfondie sa sécurité informatique ;
- Audit de boîte grise: lorsque l’auditeur combine les deux précédentes approches.
Dans tous les cas, l’audit de sécurité web vise à identifier les failles potentielles qui peuvent mettre en danger l’intégrité et la fiabilité de l’infrastructure numérique d’une structure.
C’est également un moyen qui permet de tester l’efficacité des logiciels et applications utilisées. Au terme d’un audit de sécurité web méthodique, des recommandations pour l’amélioration continue des systèmes sont proposées.
La phase préparatoire : planification et périmètre de l’audit
Dans la réalisation d’un audit de sécurité web, la première phase est la phase préparatoire.
Durant celle-ci, il est question de définir les objectifs et les périmètres de l’audit. De manière concertée, on procède à la détermination des systèmes et des processus à examiner, ainsi que les critères d’évaluation.
Avec l’auditeur, votre entreprise fixe le cahier des charges pour arrêter les objectifs à atteindre, vos besoins de sécurité et les mesures déjà en place.
En réalisant des entretiens avec vos collaborateurs (internes et externes) impliqués dans la sécurité informatique, vous aurez plus de repères pour cette phase.
Lorsqu’elle est réussie, cette préparation permet de s’assurer que votre audit couvrira tous les aspects essentiels.
La collecte d’informations et la documentation initiale
Après la phase préparatoire, la prochaine étape est celle de la collecte des informations.
Au-delà des entretiens, on procède à l’examen des documents et des politiques de sécurité. Pour recueillir les données techniques, des outils de scan et de tests seront mis à contribution.
Il s’agit par exemple des récepteurs de journal qui peuvent en amont être configurés pour enregistrer différents événements de sécurité à l’instar de la modification d’une valeur système ou d’un profil utilisateur, ou l’échec d’une tentative d’accès à un objet.
À titre de source principale d’informations de votre audit, on retrouve le journal d’audit de sécurité. Lesdites informations servent à détecter les tentatives de violation de sécurité, à planifier la migration vers un niveau de sécurité supérieur et à surveiller l’utilisation d’objets sensibles.
Il est tout aussi possible pour l’auditeur d’utiliser la fonction d’audit fournie par le système pour collecter des informations sur les événements liés à la sécurité produites sur ce dernier.
L’identification des actifs critiques et des surfaces d’attaque
Une fois la documentation de l’audit de sécurité web collectée, il faut identifier les surfaces d’attaque et les éléments critiques du système.
Les surfaces d’attaque renvoient aux différents points faibles ou vulnérabilités d’un système face aux assauts extérieurs. Ce sont, plus simplement, les portes d’entrée des attaques qui se présentent comme suit :
Le réseau (point d’entrée externe) englobe les vulnérabilités issues des sites web, des services cloud, des API et tout ce qui peut passer par internet.
Les appareils connectés (téléphones, tablettes, ordinateurs) une fois contrôlés peuvent bloquer le système. L’utilisateur quant à lui est la surface d’attaque liée à l’Homme par excellence, représentant 75% des risques de sécurité web selon Stoïk.
Enfin, les attaques du genre intrusion, vol ou dégradation des systèmes sont aussi non négligeables.
Les différentes phases de l’audit technique
Entre la définition du cahier de charge, la collecte des informations et documents nécessaires et l’identification des points critiques, l’audit de sécurité web reste dans sa partie préalable.
Une fois ces préalables satisfaits, on peut passer à la partie technique proprement dite de l’audit web. Elle porte sur des activités comme le scan du réseau, le scan des vulnérabilités techniques et l’analyse des résultats en vue des mesures correctives et de confinement.
L’analyse des configurations et des paramètres de sécurité
La toute première étape de l’audit technique d’un système web consiste à évaluer les configurations et les paramètres de sécurité existants.
Par l’audit de configuration, on évalue la conformité des paramètres de sécurité de logiciels, matériels ou systèmes d’exploitation et on vérifie que les pratiques de sécurités sont conformes à l’état de l’art et aux exigences de votre structure en la matière.
L’objectif est de confronter le paramétrage aux critères de sécurité basés sur les normes constructeurs ou standards de sécurité afin d’identifier les risques relatifs aux défauts de configuration sur la protection des données.
L’auditeur effectue des vérifications sur les antivirus, le pare-feu (autorisations fantaisistes) ainsi que les protections antispam. Il passe aux logiciels et les systèmes d’exploitation pour évaluer d’éventuels retards dans les mises à jour.
Dans le même sens, l’auditeur de sécurité web mesure la bonne conformité des systèmes de sécurisation aux règles de sécurité (notamment la norme ISO/CEI 27001).
Les tests de pénétration et la recherche de vulnérabilités
À côté des configurations qui sont analysées, l’auditeur va recherche les vulnérabilités de votre système par des tests de pénétration.
Encore appelés Pentests, ces tests, effectués dans des conditions réelles, décèlent les logiciels malveillants, les failles systémiques et les défauts des configurations. Il en existe principalement 3 :
| Type de test de pénétration | Déroulement du test | Atouts du test pour l’audit de sécurité web |
|---|---|---|
| Boîte grise | Les documents internes, diagrammes de l’infrastructure et l’organigramme de la structure sont partagés avec l’auditeur ; On simule une fuite d’informations sensibles | Le nombre de jours de l’audit est réduit |
| Crystal box ou boîte blanche | Les vulnérabilités, les failles du système, la protection des données (accès aux données, chiffrement…) et risques sont analysés ; Le code-source est passé en revue ; Un stress test des équipements réseaux (routeurs, borne wifi, firewall) est effectué | Étapes de reconnaissance et d’authentification simplifiées ; |
| Boîte noire | Avec le nom de l’entreprise et le domaine du site web, l’auditeur procède à la reconnaissance (scan des IP), au recueil des informations sensibles | Élévation des privilèges ; Efficacité de l’audit |
L’évaluation des risques et la classification des vulnérabilités
L’évaluation des risques lors d’un audit de sécurité web peut se faire suivant différentes autres méthodes.
Les tests de résistance ont pour objet de simuler les attaques de pirates sous différentes formes. C’est le cas de la tentative de phishing qui se présenter sous la forme d’une :
- Création de portail fictif de frais ;
- Copie de site web ;
Il peut également s’agir d’une tentative d’intrusion physique permettant de déterminer le ou les points de défaillance. Le test d’ingénierie sociale également peut être utilisé pour évaluer les risques.
Il est basé sur les collaborateurs et consiste à essayer de s’introduire dans un système informatique pour voler des informations personnelles et professionnelles.
Parmi les risques et menaces de sécurité web les plus couramment déployés, on retrouve le phishing, le ransomware, l’injection SQL, XXS, l’attaque DDoS et les logiciels espions.
La priorisation des correctifs et recommandations
Le but d’un audit de sécurité web est d’identifier des failles. Une fois détectées, les vulnérabilités doivent être corrigées afin de renforcer la sécurité de votre réseau. Il est important de prioriser les actions. Pour ce faire, il faut :
- Classer les vulnérabilités suivant leur gravité ;
- Catégoriser les vulnérabilités en fonction de leur probable exploitation par les cyber délinquants ;
- Définir les différentes actions correctives à implémenter en priorité ;
- Mettre en place les mesures de protection (l’application de correctifs, la configuration de pare-feu, l’installation de logiciels de sécurité, etc.) ;
- Surveiller régulièrement.
La rédaction et la présentation du rapport d’audit
Une fois la mission d’audit de sécurité web terminée, il faut présenter les résultats sous forme de rapport. Il s’agit d’un document qui va pointer les failles de sécurité constatées.
Son contenu s’articule autour de la synthèse des constats et les recommandations.
La première partie sur les failles distingue :
- Les vulnérabilités critiques présentant un risque cyber important ;
- Les vulnérabilités moyennes qui exigent des actions correctives à court terme ;
- Les vulnérabilités basses pouvant être difficilement exploitées.
La seconde partie du rapport, sur les recommandations priorise les actions à mener. N’ayant pas la même complexité d’implémentation encore moins la même importance, les recommandations sont déclinées par leurs natures.
Le suivi post-audit et la mise en place des recommandations
Après l’audit, les actions correctives doivent être implémentées et un accompagnement à leur mise en œuvre est nécessaire.
Entre mise à jour des serveurs, ajout de règles de filtrage, nouveau mode d’authentification et amélioration du chiffrement des données, vous aurez besoin d’un suivi.
Un plan doit être élaboré pour suivre les progrès, résoudre les différents problèmes et effectuer périodiquement des audits futurs, car la sécurité informatique est un processus continu.
Optez par exemple pour un processus qui permet de suivre la mise en œuvre des améliorations recommandées, telles que les activités de gestion des correctifs ou le déploiement de contrôles d’accès améliorés.
Les aspects légaux et réglementaires de l’audit de sécurité
Parler d’aspect légal d’un audit de sécurité web, c’est évoquer les moyens de se conformer aux lois, normes et régulations auxquelles votre secteur d’activité est soumis en matière de sécurité web.
À cet effet, commencez par identifier les lois et réglementations qui vous sont applicables, évaluer votre niveau de conformité actuel. Cela vous permet de retrouver les écarts de conformité et les mesures correctives à mettre en place.
Parmi les normes applicables possibles à votre activité, on cite :
- Le RGPD (Règlement Général sur la Protection des Données) ;
- Le PCI DSS (Payment Card Industry Data Security Standard) ;
- La norme ISO 27001 ;
