Blog GlobalSign

06 nov. 2018

Comprendre le piratage éthique : 5 mythes répandus sur les tests d’intrusion

Les entreprises ont tout à gagner à mener des tests d’intrusion (généralement surnommés « pen tests »). Certaines préfèrent toutefois les reporter, voire les éviter, pour des raisons injustifiées. Ces tests constituent un outil essentiel pour évaluer et améliorer la cybersécurité en entreprise. Nous évoquerons ici les raisons les plus souvent avancées par les entreprises qui refusent de passer le pas.

1. « Cela va perturber mon activité »

De nombreuses entreprises craignent que les tests d’intrusion ne perturbent leur fonctionnement quotidien lors des évaluations. Certes, les testeurs s’inspirent des mêmes techniques et méthodes utilisées par les véritables cybercriminels et pirates informatiques, mais cela n’entraîne aucune perturbation excessive.

Dans la mesure où vous faites appel à une société de cybersécurité sérieuse pour réaliser vos tests d’intrusion, celle-ci cherchera à identifier et à exploiter sans danger les failles présentes sur vos réseaux, vos systèmes et vos applications — le tout, dans un périmètre défini et sans impacter vos opérations critiques. Même si la simulation d’une attaque réelle constitue le scénario de test idéal, vous n’avez pas à mettre votre entreprise en difficulté.

Point important à garder à l’esprit : quelle que soit la perturbation, son impact sera minime comparativement au stress lié à la gestion des conséquences d’un véritable piratage ou d’une violation de vos données. Les tests d’intrusion offrent en fait aux entreprises le moyen idéal d’éviter les interruptions d’activité.

2. « Cela coûte trop cher »

Certaines entreprises s’inquiètent du coût des tests. Les tests d’intrusion sérieux exigent de faire appel à des spécialistes qualifiés et peuvent, selon le périmètre, nécessiter plusieurs jours par test.

Pour répondre à différents types de besoins, les tests d’intrusion peuvent être adaptés aux exigences de l’entreprise et à ses impératifs budgétaires. Si vous disposez d’un budget de sécurité limité, les tests peuvent se concentrer sur les domaines potentiellement les plus rentables. En délimitant précisément le périmètre d’évaluation, les testeurs peuvent estimer la durée de chaque évaluation et convenir avec vous au préalable du budget à allouer.

3. « Nous effectuons déjà une analyse de vulnérabilité, c’est suffisant »

Dans la mesure où vous avez déjà effectué une analyse de vulnérabilité, vous pensez sans doute pouvoir vous passer des tests d’intrusion. Ces analyses de vulnérabilité sont certes utiles pour évaluer votre cybersécurité, mais pas aussi complètes que des tests d’intrusion.

Une analyse de vulnérabilité s’appuie sur des outils automatiques pour déceler les failles connues dans vos logiciels, vos applications et sur votre infrastructure. Un test d’intrusion mêle quant à lui techniques logicielles d’analyse des vulnérabilités et méthodes axées sur l’humain pour identifier et, surtout, exploiter un éventail bien plus large de failles de sécurité dans l’environnement de votre entreprise.

Tandis que les tests de vulnérabilité permettent d’examiner les points faibles de vos logiciels, les tests d’intrusion sont capables de tester le degré de sensibilisation et de préparation de vos équipes en cas de cyber-agression. En attaquant l’entreprise à l’aide d’e-mails d’hameçonnage, les testeurs observent la façon dont votre personnel réagit. Vous aurez beau disposer de défenses numériques renforcées, elles ne seront d’aucune utilité si vos collaborateurs ignorent comment réagir en cas de danger.

4. « Les testeurs vont compromettre des données sensibles »

Certaines entreprises considèrent les tests d’intrusion comme une vaste escroquerie qui permet aux testeurs de mettre la main sur leurs données. D’autres craignent que ces tests n’aient pour objectif de déceler les failles pour permettre à d’autres de les exploiter.

Il importe ici de distinguer les pirates informatiques mal intentionnés qui convoitent vos données des testeurs d’intrusion qui sont des professionnels de la cybersécurité dûment formés. Bien entendu, vous ne devez faire appel qu’à des entreprises en qui vous pouvez avoir confiance. Privilégiez les entreprises agréées par le CREST, ainsi que les prestataires d’audit de la sécurité des systèmes d’information (PASSI) qualifiés. Ceux-ci sont habitués depuis de longues années à travailler en toute confidentialité pour leurs clients.

Le CREST est l’organisme britannique qui supervise le secteur sécurité des systèmes d’information ; l’adhésion est réglementée et les membres sont tenus de respecter les processus et procédures de l’organisme. Au Royaume-Uni, lorsque l’on choisit de faire appel à une entreprise agrée par le CREST, on a l’assurance que les techniques de piratage utilisées pour les tests sont à la fois éthiques et de qualité, et qu’elles sont conformes aux bonnes pratiques. En France, choisir un PASSI qualifié vous donne la garantie qu’il répond aux exigences de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

5. « Le niveau de cybersécurité est déjà élevé dans mon entreprise »

De nombreuses entreprises estiment ne pas avoir besoin de tests d’intrusion, car elles disposent de défenses solides. Malheureusement, cette « solidité » est un concept très flou dans le domaine de la cybersécurité où de nouvelles vulnérabilités voient le jour en permanence.

L’excès de confiance est effectivement l’un des plus grands risques pour votre sécurité. Même si vos défenses sont solides aujourd’hui, les cybercriminels perfectionnent chaque jour leurs armes. Vous devez donc évaluer régulièrement votre sécurité pour être en mesure de déjouer les dernières tactiques et techniques utilisées par les cybercriminels.

Les entreprises ont tôt fait de céder aux préjugés sur le piratage éthique ou les tests d’intrusion, mais dans la réalité, le piratage éthique est une pratique courante qui permet régulièrement à de nombreuses entreprises de maintenir un niveau de cybersécurité satisfaisant. Les tests d’intrusion peuvent réellement changer la donne pour votre entreprise et vous aider à vous protéger des cybercriminels — ne procrastinez plus à cause de mythes qui ont la vie dure.

À propos de l’auteur

Rédacteur indépendant, Mike James est spécialisé dans les technologies et la cybersécurité. Il est établi à Brighton au Royaume-Uni. Ses articles sont publiés sur de nombreux grands sites et magazines presse. Mike collabore régulièrement sur des sujets relatifs au hacking éthique, et tests de pénétration, notamment pour la mise en œuvre optimale de ces technologies dans les entreprises de tous types et de toute taille. Mike collabore fréquemment avec Redscan, un fournisseur leader de solutions de cybersécurité au Royaume-Uni, et d’autres entreprises. Lorsqu’il n’écrit pas sur des sujets « geek », il écrit également sur des recettes et programmes d’exercices.

Note : ce billet de blog a été écrit par un rédacteur externe afin de varier les contenus proposés à nos lecteurs. Les opinions exprimées par l’auteur de cet article sont exclusivement les siennes et ne reflètent pas nécessairement les opinions de GlobalSign.

Partager ce blog

Six bonnes raisons d’investir dans des tests de pénétration en 2018