- Un dispositif d'audit efficace est composé de trois couches complémentaires : les audits périodiques formels, les contrôles continus automatisés, et les revues ciblées déclenchées par des événements (incidents, changements majeurs, acquisitions).
- LastPass (2022) : la violation en deux phases a mis en lumière l'absence de contrôles continus sur les postes d'employés ayant accès à des environnements critiques — un angle mort d'un dispositif d'audit concentré sur les systèmes centraux sans couvrir les postes des utilisateurs à forts droits.
- Cathay Pacific (2018) : quatre ans de présence non détectée dans les systèmes illustrent l'insuffisance d'un dispositif d'audit sans surveillance continue des accès aux données sensibles.
- La fréquence des audits doit être proportionnelle au risque : les systèmes contenant les données les plus sensibles justifient une surveillance plus rapprochée que les systèmes à faible enjeu.
- Pour la direction, le dispositif d'audit est un outil de pilotage stratégique : il doit fournir une vision régulière et compréhensible de la posture de sécurité, pas uniquement un rapport technique annuel.
Structurer un dispositif d'audit efficace est l'une des responsabilités de gouvernance les plus concrètes de la direction en matière de sécurité numérique. Ce dispositif ne se réduit pas à la décision de réaliser un audit annuel — il couvre l'ensemble des mécanismes permettant à la direction d'avoir une vision fiable et continue de la posture de sécurité de son organisation, d'identifier les défaillances avant qu'elles ne se transforment en incidents, et de démontrer aux autorités et aux partenaires l'existence d'une gouvernance structurée.
Un dispositif d'audit mal structuré — trop rare, trop limité dans son périmètre, ou produisant des rapports qui n'alimentent pas les décisions de direction — consomme des ressources sans offrir la valeur attendue. La conception du dispositif est donc une décision stratégique autant qu'opérationnelle.
La couche 1 — Audits périodiques formels
Les audits périodiques formels constituent la couche de base du dispositif. Ils sont réalisés par des auditeurs indépendants, internes ou externes, selon une méthodologie structurée et un périmètre défini. Leur périodicité dépend du secteur, de la taille de l'organisation et des obligations réglementaires : annuelle dans la plupart des cadres de certification (ISO 27001, SOC 2), plus fréquente dans les secteurs à risques élevés comme la finance ou la santé.
La valeur des audits périodiques réside dans leur indépendance et dans la rigueur de leur méthodologie. Leur limite est leur nature ponctuelle : ils mesurent un état à un instant T sans couvrir les événements survenant entre deux cycles. Pour maintenir leur valeur dans le temps, le périmètre des audits doit être régulièrement révisé pour inclure les nouvelles technologies et environnements déployés depuis le dernier cycle.
La violation Marriott — 500 millions de personnes affectées, présence de l'attaquant depuis 2014 — illustre la limite d'un dispositif d'audit qui n'a pas été mis à jour pour couvrir les systèmes hérités lors de l'acquisition de Starwood en 2016. Les processus d'audit de Marriott couvraient les systèmes Marriott selon les pratiques établies, mais les systèmes Starwood intégrés post-acquisition n'ont jamais été inclus dans le périmètre avec la même rigueur. L'intégration d'une acquisition dans le dispositif d'audit — revue des systèmes hérités, audit de transition, mise à jour du périmètre de surveillance — est une étape critique souvent négligée dans la pression des intégrations post-fusion.
La couche 2 — Contrôles continus automatisés
Les contrôles continus automatisés comblent la fenêtre d'exposition entre les audits périodiques. Ils reposent sur des outils qui surveillent en permanence des indicateurs clés : conformité des configurations par rapport aux politiques définies, présence de comptes inactifs ou orphelins, accès hors norme aux ressources sensibles, dérives dans les niveaux de correctifs appliqués. Contrairement aux audits ponctuels, ils détectent les anomalies dans les jours ou heures suivant leur apparition.
Pour la direction, les contrôles continus se traduisent par un tableau de bord de sécurité : un ensemble d'indicateurs mis à jour régulièrement, lisibles par un non-technicien, qui donnent une vision de synthèse de la posture de sécurité comparable à un tableau de bord financier. Ce tableau de bord est l'outil de pilotage que la direction doit consulter régulièrement et qui alimente les discussions des comités de direction sur les risques numériques.
La couche 3 — Revues ciblées sur événements
Certains événements justifient une revue de sécurité ciblée, distincte des cycles d'audit périodiques : un incident de sécurité, même mineur, pour évaluer si des défaillances systémiques ont été révélées ; un changement majeur d'architecture ou de technologie ; une acquisition ou une intégration de systèmes tiers ; une modification significative du cadre réglementaire ; un changement de prestataire pour un service critique. Ces revues ciblées permettent de maintenir la pertinence du dispositif d'audit dans un environnement qui évolue en permanence.
La violation Home Depot illustre l'insuffisance d'un dispositif d'audit ne couvrant pas les accès prestataires et la segmentation réseau entre les accès tiers et les systèmes de paiement. Home Depot disposait d'un programme de conformité PCI-DSS — standard de sécurité de l'industrie des cartes de paiement. Pourtant, la violation par credentials prestataire non segmentés a persisté cinq mois. Le dispositif d'audit, centré sur les systèmes internes de paiement, n'incluait pas les vérifications des droits d'accès prestataires ni la segmentation réseau entre les zones d'accès tiers et les environnements de paiement.
L'attaque par skimming contre British Airways — active 15 jours avant détection — illustre l'absence d'un contrôle continu sur l'intégrité des composants du processus de paiement en ligne. British Airways disposait de certifications de conformité PCI-DSS et d'audits périodiques. Aucun mécanisme de surveillance continue de l'intégrité des scripts chargés par les pages de paiement n'était en place pour détecter en temps réel l'injection du code de skimming. Ce type de contrôle continu automatisé — surveillance de l'intégrité des sous-ressources web — est désormais une exigence explicite des versions récentes de PCI-DSS, directement inspirée par des incidents comme celui de British Airways.
La violation Air India via SITA illustre l'insuffisance d'un dispositif d'audit qui ne couvre pas les prestataires critiques traitant des données sensibles pour le compte de l'organisation. Air India, comme la plupart des compagnies aériennes, réalisait des audits de conformité sur ses systèmes internes. La posture de sécurité de SITA — prestataire centralisé gérant les données de passagers de plusieurs compagnies mondiales — n'était pas incluse dans le périmètre d'évaluation avec la même rigueur. L'intégration des prestataires critiques dans le dispositif d'audit, avec des exigences de reporting de conformité et des droits d'audit contractuels, est désormais une obligation dans les cadres réglementaires les plus récents.