Adresse
8 rue de la Garenne, 41000 Blois
Email
contact@computasys.com
Téléphone
(+33) 9 72 57 08 46
ComputaSYS

5 erreurs à éviter lors d’un audit de sécurité

Les 5 erreurs a eviter lors dun audit de securite
  • 20 juin 2025
  • ComputaSYS
  • Blog
  • 0


I. Présentation

Dans cet article de la série “Cybersécurité : qu’est-ce qu’un Audit de sécurité ?”, nous allons passer en revue 5 erreurs à éviter lors de la préparation et la réalisation d’un audit de sécurité.

La réalisation d’un audit de sécurité passe par plusieurs phases et vise à répondre à des objectifs parfois très différents. De sa préparation à son suivi sur le long terme, de nombreuses erreurs peuvent être commises et mener à un échec de l’exercice, la mauvaise utilisation des ressources utilisées (temps, budget), voir à un faux sentiment de sécurité.

Connaitre les différents pièges mentionnés vous aidera non seulement à mieux vous préparer pour un audit de sécurité, mais aussi à optimiser l’utilisation des ressources et du budget alloués. Étant moi-même auditeur depuis de nombreuses années, je profite de cette expérience pour vous partager les erreurs à éviter lors de la réalisation d’un audit de sécurité (pour un audité, et non un auditeur).

Cet article fait notamment appel à des notions vues dans notre article dédié à ce sujet, n’hésitez pas à le consulter également :

II. Audit de sécurité : les erreurs à éviter

A. Négliger la définition du périmètre

Lorsque le périmètre d’audit est mal défini, il peut alors concerner un trop grand nombre de composants, certains étant inutiles, ou au contraire omettre des composants vitaux qui ne seront pas évalués. Cela peut donc avoir plusieurs effets négatifs :

Être déçu du résultat de l’audit, car les auditeurs ne se sont pas concentrés sur les bons éléments ;

Avoir un faux sentiment de sécurité, car tout ou partie de la surface d’attaque de la cible d’audit n’ont pas été pleinement contrôlé ;

Entrainer des attaques sur des composants qui ne sont pas sous votre responsabilité, notamment pour les audits techniques avec une composante offensive.

Il faut donc veiller à ce que le périmètre soit correctement et justement défini, puis transmis aux auditeurs pour qu’ils en comprennent l’étendue et les limites. 

Par exemple : plutôt que demander à “auditer mes sites sur internet”, il faudra, par exemple, fournir une liste précise et claire des URL concernées et indiquer où et par qui chacune est hébergée. Également, si le périmètre contient des composants très critiques à ne pas attaquer (cas d’un test d’intrusion), il faut clairement les annoncer comme étant hors du périmètre d’audit.

Voici quelques astuces et informations concernant la définition du périmètre d’audit :

B. Ne pas évaluer les risques cyber

L’analyse de risque est réellement un entrant très important pour tout type d’audit cybersécurité. Elle permettra aux auditeurs de comprendre ce qui est le plus important pour la sécurité de la cible d’audit. Et, cela rapidement et bien qu’ils ne soient pas familiers de votre contexte métier.

Je vous recommande donc d’effectuer cette analyse de risque avant la réalisation d’un audit et de communiquer les principaux évènements redoutés aux auditeurs lorsque cela est nécessaire. Le risque est sinon de laisser les auditeurs, qui ne sont naturellement pas de votre métier ou entreprise, définir eux-mêmes ces risques au cours de l’audit et de potentiellement passer à côté des plus importants.

Il existe bien entendu des risques “génériques” qui s’appliquent à tout site web, toute application ou tout système d’information. Mais l’intérêt d’un audit et de l’intervention d’experts est d’avoir une prestation qui colle le mieux à vos intérêts et contextes. Transmettre les bonnes informations aux auditeurs permet donc d’aller au-delà de ces risques génériques, qui seront tout de même évalués.

Par exemple : voler la liste des fiches de paie d’une entreprise spécialisée dans le transport de marchandise est un risque que n’importe quel auditeur pourra considérer lors de son audit. Mais, impacter l’intégrité des données de la base de données des flux logistiques sera bien plus catastrophique, et c’est un élément qui ne viendra pas forcément tout de suite à l’esprit d’auditeurs qui ne sont pas familiers de ce secteur d’activité.

En conséquence, les tests d’intrusion viseront possiblement un objectif qui n’est pas le plus parlant pour l’entreprise. Aussi, l’audit d’architecture et ses conclusions et recommandations porteront sur des actifs qui ne sont pas les plus importants non plus, etc.

C. Mal choisir les portées/types d’audit

Le choix des types (ou portées) d’audit à inclure dans son audit cybersécurité n’est pas forcément évident à faire lorsque l’on n’est pas habitué à ce type d’exercice. Heureusement, les prestataires d’audit sont généralement là pour vous conseiller.

Choisir des portées qui ne sont pas les bonnes peut mener à un échec complet de l’exercice, dans la mesure où l’on n’obtiendra pas les bonnes conclusions et recommandations par rapport à la cible auditée.

Par exemple, je souhaite savoir s’il est facilement possible pour un attaquant de s’introduire à l’intérieur de mon système d’information depuis Internet. Pour cela, je choisis un prestataire et commande un audit de configuration ainsi qu’un audit d’architecture. Ici, on risque ici de passer à côté de l’essentiel : l’absence de tests concrets et réalistes visant à évaluer la résistance du système d’information face à une attaque réelle. Un test d’intrusion et une campagne de phishing auraient été bien plus adaptés pour répondre à cette problématique.

Nous passons en revue les principales portées d’un audit de sécurité dans l’article suivant :

Il est également important de ne pas négliger les aspects organisationnels. Par exemple, une entreprise peut investir dans des audits techniques poussés, mais négliger l’audit organisationnel. Cela peut laisser des lacunes critiques dans la gestion des accès, la sensibilisation des employés, la formation des équipes ou la réponse aux incidents. Ainsi, les vulnérabilités seront identifiées, possiblement corrigées, mais reviendront très rapidement en l’absence de processus organisationnels renforcés.

D. Ignorer les vulnérabilités faibles

À l’issue d’un audit de cybersécurité est transmis un rapport contenant généralement des vulnérabilités avec différents niveaux de criticités tels que “Fort”, “Moyenne” ou “Faible”. Comme nous l’avons vu, d’autres métriques peuvent s’appliquer en fonction du type d’audit et du contexte, par exemple, une priorité et difficulté de mise en place de recommandation.

Il est fréquent (et normal) que la priorité en termes d’application des recommandations se porte sur les vulnérabilités à criticité élevée, car elles sont souvent celles qui peuvent mener à un impact sérieux sur le SI ou l’organisation. Tout aussi fréquemment, il est observé que les vulnérabilités ayant un impact et une criticité moyenne et faible soient ignorées ou oubliées. 

Cependant, dans des contextes d’exploitation et d’attaques réels, l’enchaînement de plusieurs vulnérabilités faibles permet souvent de mener à un impact conséquent sur le système d’information et son organisation. Prise individuellement, chaque vulnérabilité peut paraitre sans impact ou intérêt, mais lorsque plusieurs de ces vulnérabilités sont présentes, cela crée parfois une opportunité beaucoup plus intéressante pour l’attaquant.

L’erreur à éviter est donc ici de se satisfaire de corriger uniquement les principales vulnérabilités remontées par un audit, en considérant que les vulnérabilités de moindre impact peuvent toutes être acceptées.

E. Ignorer les contraintes et limites d’un audit

Un audit de sécurité est généralement une prestation réalisée par un prestataire externe à un moment précis de la vie d’un système d’information ou d’une organisation. Cela présente plusieurs limites importantes à garder en tête.

Tout d’abord, les éléments examinés lors d’un audit de cybersécurité ne peuvent pas être exhaustifs. Les contraintes budgétaires (et donc de temps alloué) obligent à prioriser et à échantillonner les éléments à tester (tests techniques, documentation, entretiens). Cette approche par échantillonnage signifie qu’il existe toujours un risque de passer à côté de certaines vulnérabilités. Ainsi, même si un audit conclut positivement, cela ne garantit pas qu’un périmètre soit sûr à 100%. Cela souligne l’importance de bien définir le périmètre, d’exposer clairement les priorités aux auditeurs, et de réaliser des audits réguliers.

Ensuite, un audit est toujours réalisé à un instant donné. Il permet d’évaluer les mécanismes de sécurité et la robustesse d’un périmètre à ce moment précis (c’est pourquoi les éléments “en projets”, seront souvent ignorés des auditeurs d’ailleurs). Cependant, une application, un système d’information et une organisation continuent d’évoluer après la rédaction du rapport d’audit. Ces évolutions (ou leur absence) peuvent introduire de nouvelles vulnérabilités.

Garder ces deux contraintes à l’esprit permet de relativiser les conclusions d’un audit et de maintenir une vigilance accrue, surtout lorsque l’audit remonte à quelque temps.

III. Conclusion

Comme nous l’avons vu au cours des deux articles dédiés au sujet des audits de sécurité, il s’agit d’un exercice qui peut avoir une réelle plus-value pour toute entité et qu’il convient de prendre au sérieux, tant lors de sa préparation que de son suivi. Éviter les erreurs mentionnées vous aidera non seulement à mieux vous préparer pour un audit de sécurité, mais aussi à optimiser l’utilisation des ressources et du budget alloués.

Pour approfondir votre compréhension des audits de sécurité, je vous invite à consulter notre article introductif sur le sujet, dont cet article est le complément indispensable :

Enfin, n’hésitez pas à partager avec nos lecteurs vos expériences autour des audit de sécurité et des pièges à éviter via les commentaires.

Co-fondateur d’IT-Connect.fr.
Auditeur/Pentester chez Orange Cyberdéfense.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *