Sécurité informatique : les tests d`intrusion pour les

Sécurité informatique : les tests d’intrusion pour les PME ?
Écrit par Mathieu Lahierre
Vendredi, 05 Mars 2010 10:48
Sécurité informatique : les tests d’intrusion pour les PME
Le test d’intrusion est un outil incontournable pour vérifier la sécurité de son système
informatique. Il est plutôt réservé aux grandes entreprises car la manœuvre nécessite un
investissement financier, humain et temporel important.
Le test consiste à simuler une attaque d’un utilisateur (dans le but d’espionner en pillant
l’information, de stocker des informations sur les serveurs de l’entreprise, par simple
amusement ou défi personnel) voire d’un logiciel malveillant. L’instigateur analyse les
vulnérabilités du système informatique et détermine celle qui seraient exploitables afin
d’améliorer la sécurité de ce système dans sa globalité.
En matière de sécurité du système informatique, la PME a de nombreuses problématiques.
Elles sont suivies par un responsable informatique dans le meilleur des cas, sinon par une
entreprise extérieure en charge de la gestion de ces ressources matérielles et logicielles.
Peu de PME ont une véritable politique de sécurité. La priorité budgétaire est donnée à la
« sécurisation » du réseau (installation d’un firewall) ou du poste de travail de l’utilisateur.
Quoiqu’il en soit le test d’intrusion ne résulte jamais ou, en tempérant le propos, très rarement
d’une action préventive : dans la grande majorité des cas, l’entreprise prend des mesures suite
à un incident matériel ou la présence avérée de programmes malveillants.
Le test d’intrusion n’est pas une fin en soi : il faut engager les démarches correctives imposées
par le plan d’actions. Et le problème de la mise en œuvre se pose pour les PME. En effet, nous
retombons sur la problématique des ressources humaines affectées au service informatique :
externalisée, la difficulté est de trouver les bonnes compétences chez le fournisseur.
Internalisée, l’entreprise se heurte au besoin d’accompagnement en management du risque,
bien plus poussé que dans une structure de grande taille où ces problématiques sont monnaie
courante.
En pratique les scénarii d’attaques sont testés les uns après les autres, du plus simple/direct au
plus compliqué afin de balayer toutes les vulnérabilités du système qui pourraient exister
(modification de données, accès aux données sensibles, vol de compte, usurpation d'identité,
1/2
Sécurité informatique : les tests d’intrusion pour les PME ?
Écrit par Mathieu Lahierre
Vendredi, 05 Mars 2010 10:48
etc.).
Le test n’est pas seulement externe : le cas d’un pirate qui essaie d’exploiter les failles depuis
Internet pour pénétrer les systèmes et réseaux informatiques de l’entreprise. Il faut aussi
envisager le volet interne du test pour identifier les vulnérabilités au sein même de l’entreprise
et dans quelle mesure un personnel pourrait être malveillant et agir sur les systèmes et les
applications du réseau interne.
L’instantanéité des besoins est une marque de fabrique de la PME. Le test doit s’accompagner
dans un délai très court de l’application des recommandations. Le chef d’entreprise doit veiller à
ce que les vulnérabilités détectées soient traitées, selon les priorités établies.
Malgré tout, le test d’intrusion a une limite : il est représentatif d’une situation à un instant T et il
est difficilement envisageable de prévoir toutes les menaces pesant sur le système
informatique. La principale problématique est de véritablement bien saisir les enjeux de la
sécurité informatique pour la PME. La sensibilisation du chef d’entreprise et des managers est
la condition sine qua non pour faire adhérer l’ensemble des collaborateurs à la sécurité de
l’entreprise.
2/2