/ Sécurité et protection des données / Audit de vulnérabilité IT : scan automatique ou test manuel, quelle profondeur d’analyse ?
Analyse de sécurité informatique avec visualisation de données techniques dans un environnement professionnel
Publié le 12 mars 2024

En tant que DSI, vous êtes confronté à un paradoxe constant. D’un côté, les scanners de vulnérabilités automatiques produisent des rapports volumineux, listant des centaines de failles potentielles avec des scores de criticité alarmants. De l’autre, votre expérience vous dicte qu’une grande partie de ces alertes sont des faux positifs ou des risques théoriques sans impact métier réel. La tentation est grande de se contenter de cette approche automatisée, rapide et peu coûteuse, pour « cocher la case » de l’audit de sécurité. Pourtant, les incidents de sécurité majeurs exploitent rarement une seule faille évidente, mais plutôt une cascade de faiblesses subtiles.

Les discussions opposent souvent le scan automatique au test d’intrusion (pentest) manuel comme deux approches concurrentes. C’est une erreur d’analyse. La véritable question n’est pas de choisir l’un ou l’autre, mais de comprendre leur rôle complémentaire dans un processus de diagnostic par niveaux. Penser qu’un scan suffit, c’est comme se contenter de prendre sa température pour évaluer sa santé globale : c’est un indicateur utile, mais insuffisant. La clé est d’adopter une stratégie d’audit qui évalue différentes profondeurs d’analyse, de l’hygiène de base à la simulation d’une attaque complexe.

Cet article n’est pas une simple liste d’outils. Il propose une méthodologie pour le DSI afin d’arbitrer entre les différents types d’audits. Nous allons décomposer le processus pour passer de l’identification de symptômes de surface à la découverte des chaînes d’exploitation réelles qui menacent votre système d’information. Nous verrons comment chaque type de test, du scan de code à l’audit physique, répond à une question précise et contribue à une vision consolidée et actionnable de votre posture de sécurité.

Cet article propose une feuille de route pour évaluer la profondeur de votre analyse de sécurité. Le sommaire ci-dessous vous guidera à travers les différentes strates de l’audit, de l’automatisé au manuel, du numérique au physique.

Sommaire : Comprendre les niveaux d’analyse en audit de sécurité IT

Scan de vulnérabilité : comment identifier les machines non mises à jour ?

Le scan de vulnérabilités est le point de départ de tout audit. Il s’agit d’une procédure automatisée qui inspecte votre système d’information à la recherche de failles connues, de configurations par défaut non sécurisées et de services exposés inutilement. Son objectif est de fournir un inventaire rapide et exhaustif des faiblesses évidentes. C’est une mesure d’hygiène fondamentale, non un diagnostic de sécurité complet. Son principal atout est sa capacité à couvrir un large périmètre rapidement, ce qui est essentiel lorsque l’on sait que plus de 50% des opérations de cyberdéfense de l’ANSSI en 2024 concernaient des vulnérabilités sur les équipements en bordure de SI.

L’outil compare les versions des logiciels, les ports ouverts et les configurations de vos actifs (serveurs, postes de travail, pare-feux) à des bases de données de vulnérabilités publiques (CVE – Common Vulnerabilities and Exposures). Le résultat est un rapport listant les problèmes détectés, souvent classés par un score de gravité. Ce processus est indispensable pour détecter les machines qui n’ont pas reçu leurs correctifs de sécurité. Pour 41% des entreprises, les vulnérabilités des systèmes représentent d’ailleurs la préoccupation principale en matière de cybersécurité.

Cependant, l’analyse brute d’un rapport de scan est incorrecte. Le volume d’informations généré peut être paralysant. La mission du DSI n’est pas de corriger toutes les failles « moyennes », mais de discerner celles qui présentent un risque réel dans son contexte. Une faille sur un serveur de développement isolé n’a pas le même impact qu’une faille identique sur un serveur frontal hébergeant des données clients. Le scan identifie les symptômes ; il ne mesure pas la criticité métier.

Revue de code : comment trouver les failles dans vos applications maison ?

Si votre entreprise développe ses propres applications, qu’elles soient internes ou à destination des clients, la revue de code est une étape non-négociable. Elle consiste à analyser le code source pour y déceler des failles de sécurité avant même que l’application ne soit déployée. Contrairement au scan de vulnérabilités qui teste l’application « de l’extérieur » (en boîte noire), la revue de code est une analyse en « boîte blanche ». Elle permet de trouver des erreurs logiques, des injections SQL, des failles de type Cross-Site Scripting (XSS) ou des problèmes de gestion des sessions qui seraient invisibles pour un scan externe.

Cette analyse peut être effectuée de deux manières complémentaires. L’analyse statique (SAST – Static Application Security Testing) utilise des outils automatisés pour parcourir le code à la recherche de schémas de programmation connus pour être dangereux. L’analyse dynamique (DAST), quant à elle, teste l’application en cours d’exécution pour observer son comportement face à des tentatives d’exploitation. La combinaison des deux approches est la plus efficace. Le fait que 47% des attaques exploitent des failles logicielles, selon le Baromètre CESIN 2025, démontre que la sécurité applicative ne peut être ignorée.

Ce paragraphe introduit un concept complexe. Pour bien le comprendre, il est utile de visualiser ses composants principaux. L’illustration ci-dessous décompose ce processus.

Comme le montre ce schéma, chaque étape joue un rôle crucial. Le flux de données est ainsi optimisé pour la performance. Ignorer la revue de code, c’est prendre le risque de déployer une application contenant des portes dérobées. Corriger une faille au stade du développement coûte infiniment moins cher que de devoir gérer un incident de sécurité en production. Pour un DSI, intégrer la revue de code dans le cycle de vie du développement logiciel (DevSecOps) est un investissement direct dans la réduction du risque.

Audit d’ingénierie sociale : vos employés ramassent-ils les clés USB trouvées par terre ?

La sécurité technique la plus robuste peut être contournée par le maillon le plus faible : l’humain. L’audit d’ingénierie sociale vise à tester la vigilance et la réaction de vos employés face à des tentatives de manipulation. Ces tests simulent des scénarios d’attaque courants : campagnes de phishing ciblées, appels téléphoniques frauduleux (vishing) ou encore des clés USB « perdues » sur le parking de l’entreprise. L’objectif n’est pas de piéger les collaborateurs, mais de mesurer objectivement le niveau de maturité de l’organisation face à ce type de menace.

Le phishing reste le vecteur d’attaque dominant. Les chiffres sont sans appel : le taux de clics sur les liens d’hameçonnage a triplé en 2024, montrant une professionnalisation croissante des attaquants. Un audit permet d’identifier les départements ou les profils les plus vulnérables et d’adapter les programmes de sensibilisation. Un test de « USB drop » est également un excellent indicateur : combien d’employés brancheront une clé inconnue sur leur poste de travail, ouvrant potentiellement une brèche dans le réseau ?

La mesure de l’efficacité de la sensibilisation est la clé. Une formation sans évaluation de son impact est un coût, pas un investissement. Les résultats peuvent être spectaculaires lorsque la démarche est structurée.

Étude de cas : Efficacité mesurée des campagnes de formation au phishing

Une étude menée par PIIRATES sur des campagnes de sensibilisation au phishing a démontré des résultats probants. Le taux de clic sur les emails de phishing est passé de 28-34% avant formation à seulement 3-5% après, soit une réduction de 89%. Plus significatif encore, le taux de signalement des tentatives suspectes par les employés a bondi de 0-8% à 67-73%, représentant une augmentation de 738%. Ces chiffres prouvent que l’indicateur clé du succès n’est pas seulement la baisse des clics, mais surtout l’augmentation de la capacité des équipes à identifier et signaler activement la menace, transformant chaque employé en un maillon de la chaîne de défense. Cette approche est confirmée par une analyse sur l’efficacité des formations.

Un audit d’ingénierie sociale fournit des métriques tangibles pour justifier et orienter les budgets de formation. Il transforme la sensibilisation, souvent perçue comme une contrainte, en une composante mesurable et efficace de la stratégie de défense.

Sécurité Wi-Fi : votre réseau invité est-il une porte ouverte vers vos serveurs ?

La sécurité du réseau sans-fil est souvent un angle mort des audits de sécurité. Beaucoup d’entreprises déploient un réseau Wi-Fi « invité » pour les visiteurs, pensant qu’il est isolé du réseau de production. C’est une hypothèse dangereuse qui doit être vérifiée. Un réseau invité mal configuré peut servir de point d’entrée pour un attaquant, lui permettant de scanner le réseau interne, d’intercepter du trafic ou de pivoter vers des serveurs critiques. L’audit du Wi-Fi ne se limite pas à vérifier la complexité du mot de passe.

Il doit couvrir plusieurs aspects. Le premier est la segmentation : le réseau invité est-il réellement étanche au réseau de production ? Un simple test de connectivité (ping) ou un scan de ports depuis le VLAN invité vers le VLAN de production peut révéler des erreurs de configuration critiques. Le deuxième est le protocole de chiffrement. L’utilisation de protocoles obsolètes comme WEP ou WPA est inacceptable. WPA2-PSK est un minimum, mais WPA3 ou WPA2-Enterprise avec une authentification centralisée (via un serveur RADIUS) offrent un niveau de sécurité bien supérieur.

Enfin, l’audit doit évaluer la surface d’attaque physique. La portée du signal Wi-Fi s’étend-elle au-delà des murs de l’entreprise ? Un attaquant peut-il, depuis la rue ou le parking, tenter de s’y connecter ? C’est ce qu’on appelle le « wardriving ». Un audit Wi-Fi complet cartographie cette exposition et teste la capacité du système à détecter des points d’accès non autorisés (rogue AP) ou des « Evil Twins » qui imitent votre réseau légitime pour voler les identifiants de vos employés.

Plan d’action : Audit de la sécurité de votre réseau Wi-Fi

  1. Vérifier l’étanchéité absolue entre le VLAN invité et le VLAN de production par un test de ping et scan de ports.
  2. Contrôler les protocoles de sécurité utilisés : privilégier WPA3 ou WPA2-Enterprise avec RADIUS plutôt que WPA2-PSK.
  3. Auditer la portée du signal Wi-Fi au-delà des murs du bâtiment (wardriving) pour cartographier la surface d’attaque accessible depuis la rue.
  4. Vérifier la configuration des droits d’accès et des services exposés pour éviter les accès non autorisés.
  5. Tester la détection des points d’accès pirates (Evil Twins) qui pourraient intercepter les identifiants des employés.

Score CVSS : comment comprendre la gravité d’une vulnérabilité (Critique, Haute, Moyenne) ?

Le Common Vulnerability Scoring System (CVSS) est un standard ouvert utilisé pour évaluer la gravité des vulnérabilités de sécurité. Il attribue une note numérique de 0 à 10, ainsi qu’un niveau qualitatif (Bas, Moyen, Haut, Critique). Pour un DSI, comprendre la logique derrière ce score est essentiel pour ne pas tomber dans le piège de la priorisation uniquement basée sur la note brute. Un score CVSS est composé de plusieurs métriques : vecteur d’attaque (physique, local, réseau), complexité de l’attaque, privilèges requis, interaction utilisateur, et l’impact sur la confidentialité, l’intégrité et la disponibilité.

Un score « Critique » (9.0-10.0) indique généralement une faille qui peut être exploitée à distance, sans authentification et avec un impact maximal. Ces failles doivent être corrigées en priorité absolue. Cependant, l’erreur est de traiter toutes les failles « Hautes » ou « Moyennes » de la même manière. La véritable analyse consiste à contextualiser le score CVSS. C’est ce qu’on appelle le score temporel et le score environnemental.

Ce paragraphe introduit un concept complexe. Pour bien le comprendre, il est utile de visualiser ses composants principaux. L’illustration ci-dessous décompose ce processus.

Comme le montre ce schéma, chaque étape joue un rôle crucial. Le flux de données est ainsi optimisé pour la performance. Une vulnérabilité notée « Haute » sur un actif non exposé à Internet et ne contenant aucune donnée sensible est moins prioritaire qu’une vulnérabilité « Moyenne » sur votre serveur de base de données clients. Le DSI doit donc pondérer le score CVSS brut par l’importance métier de l’actif concerné. Le plan de remédiation doit se concentrer sur les failles qui, si elles sont exploitées, auraient le plus grand impact sur l’activité de l’entreprise. C’est le passage d’une gestion technique à une gestion du risque.

Pentest (Test d’intrusion) : pourquoi payer des hackers pour attaquer votre propre système ?

Le test d’intrusion, ou pentest, va au-delà du scan de vulnérabilités. Là où le scan est un inventaire automatisé des failles connues, le pentest est un exercice manuel qui simule la démarche et la logique d’un attaquant réel. L’objectif n’est pas seulement de trouver des failles, mais de démontrer si elles peuvent être exploitées pour atteindre un objectif précis : voler des données, obtenir un accès administrateur, perturber un service. C’est la différence entre lister des briques mal scellées dans un mur (scan) et vérifier si l’on peut les retirer une à une pour créer un passage (pentest).

Le pentest révèle la ‘chaîne d’exploitation’ qu’un scan ne verra jamais. Le pentester combine plusieurs failles ‘Moyennes’ pour créer un chemin d’attaque ‘Critique’, là où un scan ne signalerait que des problèmes isolés.

– Login Sécurité

Un pentester utilise sa créativité et son expérience pour enchaîner plusieurs vulnérabilités. Une faille de « téléversement de fichier » (upload) de niveau moyen, combinée à une mauvaise configuration des droits d’accès sur le serveur, peut devenir un chemin critique pour exécuter du code à distance. Cette « chaîne d’exploitation » est invisible pour un scanner automatique. Le livrable d’un pentest n’est pas une simple liste de failles, mais un rapport démontrant un ou plusieurs scénarios d’attaque concrets, avec des preuves (screenshots, données exfiltrées). Pour un DSI, c’est un argument irréfutable pour justifier des investissements en sécurité auprès de la direction.

Il existe plusieurs approches, chacune simulant un niveau de connaissance différent de la part de l’attaquant. Choisir la bonne approche dépend de l’objectif de l’audit.

Comparaison des approches de pentest : Black Box, Grey Box, White Box
Approche Informations fournies Simule Durée typique Avantages Cas d’usage
Black Box Aucune ou très peu Attaquant externe sans connaissance préalable 1-2 semaines Vision réaliste d’une attaque externe ; teste les défenses visibles Évaluer les risques d’attaque externe ; tester la surface d’attaque publique
Grey Box Informations limitées (ex: accès utilisateur standard) Utilisateur classique ou attaquant ayant obtenu un accès initial 1-2 semaines Réduit les phases de reconnaissance ; se concentre sur le cœur du système Tester les mouvements latéraux ; évaluer les contrôles d’accès internes
White Box Accès complet : code source, architecture, identifiants Employé malveillant ou attaquant ayant volé des informations complètes 2-4 semaines Tests les plus approfondis ; couvre la totalité du périmètre Audit de sécurité complet ; avant mise en production d’applications critiques

Questionnaire cyber : quelles mesures de sécurité exige l’assureur avant de vous couvrir (MFA, sauvegardes) ?

La souscription à une cyber-assurance n’est plus une simple formalité administrative. Face à l’explosion des sinistres liés aux ransomwares, les assureurs ont considérablement durci leurs conditions. Ils exigent désormais la mise en place d’un socle de mesures de sécurité minimales, sans lesquelles la couverture est refusée ou le montant de la prime devient prohibitif. Le questionnaire de souscription est de fait devenu un véritable outil d’auto-audit pour le DSI. Il permet de confronter sa posture de sécurité aux exigences du marché.

Les exigences des assureurs sont devenues très précises et techniques. Elles ne se contentent plus de déclarations d’intention, mais demandent des preuves de déploiement effectif. Si vous ne pouvez pas répondre « oui » à l’ensemble de ces points, vous êtes considéré comme un risque inacceptable par la plupart des compagnies. Ces mesures constituent le minimum vital de la sécurité opérationnelle en 2024.

Parmi les points de contrôle systématiquement vérifiés, on retrouve :

  • Authentification multifacteurs (MFA) : Déployée sur tous les accès externes (VPN, messagerie cloud) et, de plus en plus, sur les comptes à privilèges en interne (administrateurs de domaine).
  • Sauvegardes 3-2-1 : Trois copies des données critiques, sur deux supports différents, dont une copie est hors-site et idéalement immuable (non modifiable) ou déconnectée (air-gapped) pour résister aux ransomwares.
  • Segmentation réseau : Une séparation stricte entre les serveurs de production et les postes de travail. La capacité à isoler rapidement un segment compromis est un critère clé.
  • EDR (Endpoint Detection and Response) : Le déploiement de solutions EDR sur les serveurs et les postes de travail est devenu un standard, remplaçant les antivirus traditionnels jugés insuffisants.
  • Gestion des correctifs : L’existence d’un processus formel et rapide pour déployer les patchs de sécurité critiques.

Ce questionnaire agit comme un benchmark. Pour le DSI, il ne s’agit pas seulement d’obtenir une assurance, mais de valider que ses défenses sont alignées sur les meilleures pratiques reconnues par l’industrie. Un « non » sur un de ces points indique une faiblesse majeure qui doit être traitée en priorité, avec ou sans assurance.

À retenir

  • Le scan de vulnérabilités est une mesure d’hygiène de surface indispensable, mais insuffisante pour évaluer le risque réel.
  • Le test d’intrusion (pentest) est un test en profondeur qui simule la logique d’un attaquant pour découvrir des chaînes d’exploitation complexes.
  • La sécurité est holistique : les failles humaines (ingénierie sociale) et physiques (accès aux locaux) sont des vecteurs d’attaque aussi critiques que les failles logicielles.

Audit de sécurité physique : comment identifier les failles de votre bâtiment avant les voleurs ?

Un système d’information parfaitement sécurisé sur le plan numérique peut être entièrement compromis par une simple défaillance de la sécurité physique. L’audit de sécurité physique a pour but d’évaluer la résistance de vos locaux à une intrusion non autorisée. Le lien avec la sécurité IT est direct : un attaquant qui accède à vos bureaux peut voler un ordinateur portable non chiffré, brancher un dispositif malveillant (comme un Raspberry Pi) directement sur une prise réseau, ou accéder à la salle des serveurs. La meilleure politique de mots de passe ne sert à rien si un intrus peut simplement repartir avec le serveur sous le bras.

L’audit teste les contrôles d’accès : les portes sont-elles correctement verrouillées ? Le système de badges est-il efficace ? Mais il va plus loin en utilisant des techniques d’ingénierie sociale dans le monde réel. Le « tailgating » (ou talonnage) est un test classique : un auditeur chargé de cartons suit un employé qui lui tient aimablement la porte. Ce scénario permet de mesurer la sensibilisation du personnel. D’autres techniques incluent le déguisement en technicien de maintenance ou en coursier pour tester la vigilance de l’accueil.

Un accès non autorisé aux locaux peut mener au branchement d’un dispositif pirate sur le réseau (ex: Raspberry Pi) ou au vol d’un ordinateur portable, démontrant le lien direct entre sécurité physique et sécurité numérique.

– A2A Solutions

L’audit doit également vérifier la sécurité de la salle des serveurs (accès restreint, vidéosurveillance), la gestion des visiteurs (enregistrement, badges temporaires) et la politique de « bureau propre » (documents sensibles non laissés en évidence). Il s’agit d’appliquer la même logique de défense en profondeur au monde physique qu’au monde numérique. Pour un DSI, cet audit est l’occasion de collaborer avec les services généraux pour s’assurer que le périmètre physique ne devient pas le talon d’Achille de toute la stratégie de cybersécurité.

L’évaluation de votre posture de sécurité ne peut se résumer à un rapport de scan. Elle exige une approche stratifiée qui combine l’automatisation pour l’exhaustivité, l’expertise humaine pour la profondeur, et une prise en compte des vecteurs non-techniques. L’étape suivante est de transformer ces constats en un plan de remédiation priorisé et financé.

Rédigé par Marc Dubois, Marc Dubois est consultant senior en cybersécurité, certifié CISM et auditeur qualifié PASSI. Avec 15 ans d'expérience, il aide les entreprises à se prémunir contre les cyberattaques et à gérer les crises (ransomwares). Il est expert en sécurisation des infrastructures critiques et en protection des données sensibles.
Cybermenaces 2024 : quelles sont les attaques qui visent spécifiquement votre secteur d’activité ?
Cyberassurance entreprise : est-elle devenue indispensable pour les PME face aux ransomwares ?
Articles récents
Mise en conformité sécurité : comment rattraper le retard avant le contrôle ?
Maîtrise des menaces émergentes : comment anticiper terrorisme, activisme et risques climatiques ?
Plan d’action sécurité : comment prioriser et financer les travaux après un audit ?
Obligations légales sécurité incendie et sûreté : que devez-vous absolument respecter ?
Expert sécurité certifié : CISM, CISSP, PASSI, que signifient ces labels de confiance ?
Articles similaires
Restauration du SI après sinistre : le guide de survie pour ne pas tout perdre
Anatomie d’un piratage : comment les cybercriminels passent-ils de l’e-mail au contrôle total du réseau ?
Intrusion réseau : comment détecter qu’un hacker est dans votre système avant qu’il ne soit trop tard ?
Risques numériques critiques : comment identifier et assurer les actifs vitaux de votre entreprise ?