8 raisons pour lesquelles vous devriez mener un audit de sécurité

Publié le 22 décembre 2020 par Marc Houssaye | sécurité - entreprise - audit

Cet article est publié sous licence CC BY-NC-SA

Le système d’information (SI) est le cœur qui alimente l’ensemble des organes de votre entreprise.

Il est généralement composé d’un ERP, de progiciels métiers et de logiciels développés spécifiquement. La plupart du temps, cet ensemble technique ne s’est pas construit en un jour.  C’est pourquoi, on constate entre les différentes briques, une grande hétérogénéité qui se répercute sur :

  • La sécurité
  • La capacité entre les éléments à bien communiquer entre eux
  • L’ergonomie
Le premier devoir qui incombe aux responsables informatiques est d’assurer la fiabilité et la pérennité de ce système, sur lequel toute l’entreprise repose. Il s’agit alors de sécuriser votre infrastructure, ainsi que les applications qu’elle héberge et les données qu’elles abritent. 

Voyons ensemble, les 8 raisons pour lesquelles vous avez tout intérêt à mener un véritable audit de sécurité.

pour auditer la sécurité de votre système d'information <<

1 / Le prestataire d’une de vos applications sur-mesure n’existe plus, et vous avez très peu (voire aucune) expertise dans le framework ou le langage utilisé

Il existe tellement de langages, de framework et de CMS, que l’on ne peut pas disposer d’une équipe de développeurs experts en tout.

Par le passé, vous, ou votre prédécesseur, avez peut-être fait des choix techniques que vous regrettez aujourd'hui, ou qui ne correspondent tout simplement plus à la stack technologique que vous avez désormais réussi à cadrer.

Cependant, les vieilles applications continuent peut-être de rendre service à votre entreprise, qui compte encore sur elles.

Si c’est le cas, et que vous devez opérer une mise à jour du framework, vous y allez certainement à reculons, et hésitez peut-être même à vous rapprocher d’une agence experte dans ce dernier.

Vous vous interrogez certainement également sur la pertinence de tout re-développer dans un autre framework que vous maîtrisez.

audit-de-securite-framework
S’engager dans des développements pour refaire à l'identique une application qui fonctionne peut s’avérer compliqué à soutenir auprès des dirigeants. Pourtant, un certain nombre d’arguments peuvent faire pencher la balance du côté de la refonte. Tout comme d’autres peuvent conduire à un statu quo réfléchi.

Dans un souci de cohérence (et de recrutement), votre direction peut vous demander de réduire l’étendue des connaissances nécessaires à votre équipe de développeurs, et de rationaliser votre parc.

En tout état de cause, il faut pouvoir disposer de chiffres, d’arguments, d’analyses fines de la situation. C’est là qu’un audit de sécurité peut vous permettre de séparer le bon grain de l’ivraie en matière de durabilité de vos applications existantes et de la quantité de travail nécessaire pour les sécuriser.

2 / Vous disposez d’un framework fait maison, et vous tremblez à la simple évocation de faille de sécurité

De nos jours, les développements d’applications sérieux reposent sur un framework.

Cependant, il se peut que votre application métier ait été réalisée sans framework, à l’époque où ce concept était balbutiant, voire inexistant.

Malgré les mesures de sécurité que vous avez peut-être mises en place (comme par exemple, l’accessibilité de votre application seulement auprès de certaines adresses IP), vos développeurs ne bénéficient ni de la veille communautaire d’un framework, ni des mises à jour de sécurité liées aux failles régulièrement détectées.

Notre conseil

Posez-vous la question suivante : Quels sont les bénéfices et les risques de maintenir votre solution ?

3 / Vos collaborateurs utilisent des outils qui ne font pas partie de la suite de logiciels préconisée par l’entreprise

audit-de-securite-logiciels

Quasiment tous les ordinateurs de bureau sont aujourd’hui équipés de nombreux outils bureautiques. Ces applications permettent de pallier des manques dans vos logiciels métier.

Cependant, plusieurs dangers existent. Ces outils peuvent :

  • Faire sortir des données de votre SI
  • Empêcher le partage de ces données avec d’autres logiciels métier ou d’autres membres de l’entreprise
  • Exposer les données confidentielles, voire stratégiques à des divulgations.

Un audit de sécurité permet de détecter des besoins d’évolution de vos logiciels pour préserver le périmètre sécuritaire de votre système d’information.

4 / Vos collaborateurs stockent leurs mots de passe en clair sur leur bureau

Le nombre de piratages augmente de plus en plus. L’une des causes principales ? Le besoin croissant d’avoir recours à des mots de passe, et la fâcheuse tendance à opter pour le même mot de passe, facile à retenir, pour différents logiciels.

Pourtant, nous savons tous pertinemment que la sécurité pourrait être renforcée si nous associons tous un mot de passe complexe, à un accès unique.

Question : utilisez-vous des logiciels coffre-fort (tels que 1Password, LastPass ou KeePass) pour stocker et facilement manipuler vos mots de passe ?

L’inventaire de vos différents mots de passe et accès lors d’un audit de sécurité permettrait déjà de poser une première pierre dans la sécurisation des accès de votre entreprise.

5 / On vous demande d’interconnecter de plus en plus vos logiciels métier, mais vous vous interrogez sur les risques encourus

audit-de-securite-risques
Vous devez sans cesse faire évoluer votre SI, en fonction des besoins de vos clients, de vos fournisseurs, partenaires et collaborateurs.

Qui n’a pas connaissance de jeunes entreprises proposant :

  • un socle technique plus robuste, plus évolutif et plus sécure,
  • des performances plus grandes,
  • des fonctionnalités et une ergonomie mieux adaptées aux usages ?

Ceci est particulièrement criant du point de vue de l’interconnectivité.

La vague des startups a augmenté le degré d’exigence numérique. Il est, en effet, de rigueur dans les développements numériques modernes de proposer une API afin de rendre accessible la consultation et la modification des données depuis l’extérieur.

C’est malheureusement là où le bât blesse chez les éditeurs historiques qui sont souvent désarmés, car trimbalant une dette technique.

Notre conseil

Posez-vous la question suivante : Quelle stratégie pourriez-vous adopter pour interconnecter de manière sécurisée vos logiciels ?

6 / Vos anciens salariés ont-ils encore accès au système d'information ?

Nul n’est à l’abri d’un ancien salarié qui voudrait nuire. Les moyens sont variés : destruction de fichiers, prise de contrôle à distance et ransomware, falsification de données, usurpation d’identité, publications diffamatoires sur les comptes des réseaux sociaux de l’entreprise…

Tout cela peut même arriver après le départ en bons termes d’un salarié, qui se trouve lui-même, victime par la suite d’un piratage.

Votre entreprise peut également faire l’objet d’espionnage industriel de la part d’un salarié parti chez un concurrent. Ceci est souvent permis par des accès non révoqués. Qu’il s’agisse d’un oubli lors d’une procédure interne, d’une infaisabilité technique ou tout simplement de l’ignorance même de ces accès, l’impact peut être dramatique pour l’entreprise.

Vous devez impérativement penser à créer des droits différents par typologie d’utilisateurs (degré d’accessibilité aux données sensibles) et des droits personnels pour chaque employé.

Listez et mettez en place des procédures de révocation, de logs et de centralisation des droits d’accès afin de vous prémunir de tels dangers.

7 / L’un de vos salariés s’est fait voler son ordinateur ou son portable : que faire ?

Un audit de sécurité doit aussi vous permettre de faire un état des lieux des risques concernant les vols de matériel.

Posez-vous les questions suivantes :

  • Comment vos postes informatiques sont-ils configurés ?
  • Avez-vous mis en place un système de double authentification ?
  • Les mots de passe utilisateur sont-ils suffisamment forts ?
  • Envisagez-vous d’utiliser l’authentification par biométrie (lecteur d’empreinte type Touch ID, Windows Hello...) ?
  • Tous les droits d’administration du système sont-ils configurés correctement ?
  • Tous les disques durs sont-ils chiffrés ?
  • Concernant votre infrastructure et vos dépôts de code, avez-vous établi une politique d’accès externe révocable en cas de vol ?

8 / Vous savez que l’idéal est d’automatiser vos sauvegardes, mais vous ne savez pas par où commencer

Une bonne sauvegarde est une sauvegarde :

  • automatique,
  • sur des supports multiples,
  • située à des endroits géographiques différents, facilement exploitable en cas d’utilisation.
Il existe une énorme quantité de données à sauvegarder :
  • vos fichiers,
  • vos données et base de données,
  • les codes sources de vos applications,
  • les configurations de vos serveurs,
  • votre comptabilité,
  • etc.

Chaque type de données nécessite une récurrence de sauvegarde appropriée, sur des périodes plus ou moins étendues. L’audit de sécurité peut comporter un volet sauvegarde pour réaliser un état des lieux exhaustif et programmer des étapes de mise en application.


L’audit de sécurité révélera des failles, des manquements ou des erreurs. Quoi qu’il advienne, il est beaucoup plus grave de cacher les vulnérabilités d’un système d’information que de reconnaître ses imperfections.

Une fois que l’audit aura dressé la liste des améliorations à entreprendre pour sécuriser votre SI, vous serez en mesure de proposer un plan à votre direction pour mener les travaux progressivement et par ordre de priorité.

Nouveau call-to-action