S'il est légitime, l'audit commandité par le client sur la solution informatique mise en place par son prestataire doit respecter certaines règles. Contours et limites de l'exercice.
Si l’on n’y prend garde, l’audit d’un système d’information peut s’apparenter au script du célèbre film de Sergio Leone Le Bon, la Brute et le Truand .Dans le rôle du « Bon », le client d’une prestation de service qui contribue à tout ou partie de son système d’information. Ne maîtrisant pas directement les équipements et les hommes qui concourent à cette prestation, il est inquiet voire suspicieux sur le niveau de sécurité effectif.Pour le « Truand », retenons le prestataire qui apporte au « Bon » une solution informatique généralement mutualisée avec d’autres clients. Il connaît bien son métier mais il doit trouver le juste équilibre entre une sécurité adaptée aux enjeux et une pression sur les prix imposée par ses clients.Enfin, attribuons le rôle de la « Brute » à la société d’audit missionnée par le client. Au prix de nombreuses tortures du genre interviews, revues de documents et autres tests d’intrusion en force, elle cherchera à faire « avouer » au prestataire un nombre de défauts proportionnel au coût de sa prestation facturée au client.Mais essayons d’être plus constructifs. Contrairement à un trésor caché, la sécurité n’est pas un jeu à somme fixe à partager entre trois belligérants. Il vaut mieux la voir comme un enfant qui peut croître et embellir s’il est couvert par l’attention de tous. Dans ce cas, mieux vaut que nos trois protagonistes jouent ensemble comme dans Trois Hommes et un couffin de Coline Serreau.
Enjeux pour le prestatairePlaçons-nous dans le rôle du prestataire. Vous connaissez votre métier et vous agissez de manière professionnelle dans la fourniture de services à des tiers. Pour fixer les idées, prenons quelques exemples concrets d’une telle prestation :
déploiement et exploitation d’un réseau IP privatif d’entreprise ;
hébergement en salle blanche de serveurs informatiques appartenant à vos clients ;
hébergement sur vos serveurs d’applications développées et maîtrisées par vos clients ;
fournitures d’une application clef en main de comptabilité, de gestion documentaire, d’archivage…
Cette prestation va reposer sur les 3 grands piliers suivants :
des plates-formes logicielles et matérielles : serveurs, systèmes d’exploitation, bases de données…
des hommes et des femmes pour concevoir, déployer, maintenir et opérer l’ensemble de ce qui précède dans le respect de processus clairement définis et efficients.
Si le client vous a confié cette prestation, c’est qu’il pense que vous pouvez la réaliser à un meilleur rapport coût / performance que ce qu’il saurait faire en interne avec des ressources en propre.Ce meilleur rapport coût / performance tient essentiellement dans le couple « savoir faire » et « mutualisation » :
Ce savoir faire acquis dans un domaine vous permet d’être plus efficace que d’autres acteurs et d’offrir une prestation de qualité. Vous avez les bons équipements, les bonnes personnes, les bons processus industriels…
La mutualisation de surfaces techniques, d’équipements informatiques, de liens réseau et d’experts dans un domaine entre plusieurs clients similaires vous permet de maîtriser votre compte d’exploitation et d’offrir votre prestation à un coût concurrentiel.
Ces deux points sont structurants dans votre attitude en tant que prestataire quand un client souhaite auditer la sécurité de la prestation rendue :
Vous allez devoir imposer des mesures afin de protéger votre savoir faire de l’inquisition des auditeurs ;
Vous allez devoir « contenir » les assauts des auditeurs pour éviter toute perturbation sur les services offerts à vos autres clients.
Les points clefs pour un bon auditCela va sans dire, l’audit client ne doit porter que sur la prestation qui lui est contractuellement due. On pourra y inclure quelques éléments connexes, mais avec de solides justifications. Si on vient dans un restaurant pour juger du bien fondé des ses étoiles, on peut inspecter la cuisine mais pas sa comptabilité, même si cela peut impacter la pérennité de l’établissement.Quelles sont les actions qui seront réalisées et les bonnes questions à se poser ?
L’ingénierie sociale ? Mais alors comment protéger les employés qui en font l’objet ?
Les tests d’intrusion dans les systèmes d’informations du prestataire ? Et quelles seront les limites de ces tests ?
Les tests de déni de service ? Alors comment protéger les équipements mutualisés dans l’intérêt des autres clients ?
Les analyses documentaires ? Les documents seront-ils copiés ou consultés sur place ?
De fait, tout ceci doit être précisé avec le périmètre de l’audit.
Faut-il planifier l’audit ?Certains clients aimeraient pouvoir agir comme la » Brigade des Stups » et faire irruption comme bon leur semble chez leur prestataire. Si ce dernier accepte toutes les demandes de ce genre alors on risque de désorganiser les services opérationnels au détriment des prestations elles-mêmes. Un bon audit n’est pas fait pour « pincer » le prestataire mais pour évaluer la sécurité et l’améliorer si nécessaire. Et si le client insiste pour mettre en place des audits » surprise « , c’est que le minimum de confiance nécessaire dans son prestataire n’existe pas. Pour contribuer à l’amélioration, l’audit doit être planifié à l’avance afin que tous les intervenants soient disponibles. Et il doit être borné dans le temps pour ne pas perturber plus que nécessaire le fonctionnement quotidien des équipes.Des coûts supplémentaires à répartirL’audit va monopoliser des ressources chez le prestataire. Les techniciens qui seront interviewés, la présentation de l’organisation ou des process par les managers, la mise en œuvre d’un accueil approprié des auditeurs, l’ouverture de comptes système… Autant d’actions qui ne font pas partie de la prestation de base. Il faut donc se mettre d’accord sur l’acteur qui prendra en charge ces différents postes de coûts.
Attention à la confidentialitéLe prestataire devra présenter aux auditeurs un savoir faire, des documents, son organisation… qui sont autant de potentiels atouts concurrentiels. Dans certains cas, il peut également avoir à présenter des informations qui concernent d’autres clients que celui qui réclame l’audit. Et puis certaines de ces informations seront portées à la connaissance du client au travers du rapport d’audit. Il est donc indispensable que le cabinet d’audit et le client concerné soient soumis à une clause de confidentialité appropriée.
Formaliser la responsabilité du cabinet d’auditDans l’exercice de sa mission, le cabinet d’audit peut porter involontairement préjudice au prestataire : un test technique qui dérape et met un équipement mutualisé hors service, un document confidentiel dupliqué et perdu… Afin que ce cabinet conduise l’audit avec tout le professionnalisme nécessaire, il est prudent de lui faire signer un engagement de responsabilité, et le cas échéant de vérifier son contrat d’assurance professionnelle. Autrement dit, pas de clause d’exonération comme certains cabinets en demandent parfois. Un droit de regard pour le prestataireLe rapport d’audit appartient logiquement au client. Mais afin de pouvoir progresser par le déploiement de mesures correctives, il est bon que le prestataire ait accès à ce rapport. Il en va de l’intérêt même du client. On peut aussi prévoir un droit à commenter pour le prestataire si le rapport ne lui reflète pas exactement la situation. Un élément positif peut avoir échappé à l’auditeur. Enfin, dans le cadre de la clause de confidentialité, la diffusion de tout ou partie de ce rapport à des tiers doit être prohibée.
Comment bien choisir son cabinet d’audit ?Un cabinet d’audit peut faire partie d’un groupe ou d’une société concurrente du prestataire audité. Si ce dernier argumente que cela peut impacter la réalité de la confidentialité de l’audit, alors il doit pouvoir récuser ce cabinet. Client et prestataire doivent donc s’accorder sur le choix du cabinet d’audit finalement retenu. Il faut aussi se méfier des problématiques de type « juge et partie » et s’assurer que le cabinet d’audit et le prestataire ne font pas partie de la même entité !
Prévoir l’audit dans le contrat Afin d’éviter de pénibles débats a posteriori, il est recommandé d’inclure la possibilité de l’audit et ses clauses opératoires dans le contrat de la prestation, en s’inspirant de ce qui précède. Il faudra bien sûr compléter les documents quand un prestataire aura été retenu et lui faire apposer sa signature sur les différents volets qui le concernent : confidentialité, responsabilité, assurance…
L’audit d’un prestataire de services par son client doit être conçu dans une approche d’amélioration dans l’esprit du « Plan-Do-Check-Act » cher à la norme ISO 27001. L’audit se place dans le Check et il trace le chemin pour le Act.
Pour ce faire, il faut convenir d’un accord sur la planification, la confidentialité, l’utilisation des résultats… entre le client, le prestataire et le cabinet d’audit.
L’audit doit être « balisé » dès la signature du contrat de la prestation de base.
Eric Wiatrowski, responsable de la sécurité des systèmes d’information de Orange Business Services Les autres articles du dossier
Comment évaluer l’efficacité des mesures de sécurité d’un SMSI ?
OSSTMM, une méthodologie pour cadrer les tests de sécurité
Les tests d’intrusion comme révélateurs de dysfonctionnements
Tests d’intrusion : le contrat, gage d’une mission réussie
De la découverte en laboratoire à l'innovation industrielle, scrutez les tendances et prenez part aux grands débats scientifiques qui construisent le monde de demain.
Réagissez à cet article
Vous avez déjà un compte ? Connectez-vous et retrouvez plus tard tous vos commentaires dans votre espace personnel.
Inscrivez-vous !
Vous n'avez pas encore de compte ?
CRÉER UN COMPTE