Rien ne ressemble plus à une campagne d’audit qu’une autre campagne d’audit… Pas si sûr ! À chaque campagne ses objectifs propres, desquels découle la démarche à adopter.
Chercher dans la bonne direction
À quoi peut servir une campagne ? Deux objectifs se dégagent principalement des campagnes que nous avons réalisées : soit mesurer le niveau de sécurité sur un échantillon de thèmes et cibles techniques, à consolider ensuite en risques à destination des métiers, soit à l’inverse évaluer à partir des processus métier les vulnérabilités techniques pouvant porter atteinte à leurs enjeux.
Deux objectifs distincts qui induisent des approches différentes lors du cadrage : soit basée sur les cibles techniques, soit sur les actifs et processus métier à protéger.
La phase de cadrage se révèle alors clé dans l’efficacité de la campagne et l’atteinte de ses objectifs. Afin de donner de l’intérêt et du relief aux constats, les périmètres à enjeux forts doivent être privilégiés. D’un point de vue plus pragmatique : il s’avère important d’aller dans les détails dès le pré-cadrage, pour identifier non seulement la charge à prévoir, mais aussi valider l’intérêt de la cible, et s’intégrer le cas échéant dans le cycle projet de la cible.
Il faut trouver l’aiguille et non pas brasser du foin ! La tendance actuelle est de raccourcir la durée des audits, dans le but de livrer une synthèse des points les plus saillants, par opposition à un rapport exhaustif de 200 pages…
Enfin, une campagne d’audit demande de rester flexible pour faire face à l’imprévu : il faut conserver une marge de manœuvre afin d’absorber les extensions de périmètre ou les demandes de dernières minutes justifiées par l’actualité ou les incidents.
Savoir faire preuve de souplesse et d’efficience dans la recherche
Si le cadrage doit être précis, le savoir-faire des auditeurs ne se limite pas à dérouler un plan prédéfini !
Il leur incombe de faire preuve d’agilité par rapport au périmètre défini, pour passer moins de temps sur les parties peu vulnérables ou peu critiques, et se concentrer sur les sujets intéressants (présence de vulnérabilités ou criticité élevée).
Un autre aspect où la souplesse est de mise : la gestion des ressources. Le démarrage de la campagne, focalisé sur le cadrage, nécessite une forte présence du pilotage mais peu de réalisation d’audits. Une réduction des ressources peut par ailleurs être anticipée sur les périodes creuses.
Enfin, le pilotage doit s’assurer de remonter en temps réel les alertes relatives aux vulnérabilités les plus critiques mises en évidence.
Les objectifs ont-ils été atteints ?
En fin de campagne, le bilan doit être fait sur 2 aspects. En premier lieu sur la forme : intérêt a posteriori des cibles choisies ? Améliorations à apporter au déroulement de la campagne ? Mais également sur le fond : quels sont les principaux risques identifiés ? Quels sont les périmètres en danger, les enjeux ou processus à renforcer ?
C’est bien lors de la consolidation de l’ensemble des résultats que la campagne prend son sens, et la restitution finale doit apporter des réponses aux objectifs fixés lors du cadrage.
La préparation de la campagne suivante peut ainsi s’envisager après identification des axes d’amélioration, et en capitalisant sur les périmètres d’audit intéressants identifiés tout au long des audits : la prochaine fois, on trouvera l’aiguille plus vite !