Sécurité informatique : les tests d`intrusion pour les
Transcription
Sécurité informatique : les tests d`intrusion pour les
Sécurité informatique : les tests d’intrusion pour les PME ? Écrit par Mathieu Lahierre Vendredi, 05 Mars 2010 10:48 Sécurité informatique : les tests d’intrusion pour les PME Le test d’intrusion est un outil incontournable pour vérifier la sécurité de son système informatique. Il est plutôt réservé aux grandes entreprises car la manœuvre nécessite un investissement financier, humain et temporel important. Le test consiste à simuler une attaque d’un utilisateur (dans le but d’espionner en pillant l’information, de stocker des informations sur les serveurs de l’entreprise, par simple amusement ou défi personnel) voire d’un logiciel malveillant. L’instigateur analyse les vulnérabilités du système informatique et détermine celle qui seraient exploitables afin d’améliorer la sécurité de ce système dans sa globalité. En matière de sécurité du système informatique, la PME a de nombreuses problématiques. Elles sont suivies par un responsable informatique dans le meilleur des cas, sinon par une entreprise extérieure en charge de la gestion de ces ressources matérielles et logicielles. Peu de PME ont une véritable politique de sécurité. La priorité budgétaire est donnée à la « sécurisation » du réseau (installation d’un firewall) ou du poste de travail de l’utilisateur. Quoiqu’il en soit le test d’intrusion ne résulte jamais ou, en tempérant le propos, très rarement d’une action préventive : dans la grande majorité des cas, l’entreprise prend des mesures suite à un incident matériel ou la présence avérée de programmes malveillants. Le test d’intrusion n’est pas une fin en soi : il faut engager les démarches correctives imposées par le plan d’actions. Et le problème de la mise en œuvre se pose pour les PME. En effet, nous retombons sur la problématique des ressources humaines affectées au service informatique : externalisée, la difficulté est de trouver les bonnes compétences chez le fournisseur. Internalisée, l’entreprise se heurte au besoin d’accompagnement en management du risque, bien plus poussé que dans une structure de grande taille où ces problématiques sont monnaie courante. En pratique les scénarii d’attaques sont testés les uns après les autres, du plus simple/direct au plus compliqué afin de balayer toutes les vulnérabilités du système qui pourraient exister (modification de données, accès aux données sensibles, vol de compte, usurpation d'identité, 1/2 Sécurité informatique : les tests d’intrusion pour les PME ? Écrit par Mathieu Lahierre Vendredi, 05 Mars 2010 10:48 etc.). Le test n’est pas seulement externe : le cas d’un pirate qui essaie d’exploiter les failles depuis Internet pour pénétrer les systèmes et réseaux informatiques de l’entreprise. Il faut aussi envisager le volet interne du test pour identifier les vulnérabilités au sein même de l’entreprise et dans quelle mesure un personnel pourrait être malveillant et agir sur les systèmes et les applications du réseau interne. L’instantanéité des besoins est une marque de fabrique de la PME. Le test doit s’accompagner dans un délai très court de l’application des recommandations. Le chef d’entreprise doit veiller à ce que les vulnérabilités détectées soient traitées, selon les priorités établies. Malgré tout, le test d’intrusion a une limite : il est représentatif d’une situation à un instant T et il est difficilement envisageable de prévoir toutes les menaces pesant sur le système informatique. La principale problématique est de véritablement bien saisir les enjeux de la sécurité informatique pour la PME. La sensibilisation du chef d’entreprise et des managers est la condition sine qua non pour faire adhérer l’ensemble des collaborateurs à la sécurité de l’entreprise. 2/2