Mon système informatique est-il sûr? Les entrepreneurs et les directeurs devraient sans cesse se poser cette question. Et ce, d’autant plus en cette période particulièrement concernée par des attaques de ransomware. Les Security Assessments et les tests de pénétration apportent des réponses à cette question. Mais quand leur réalisation s’avère-t-elle pertinente?
Lorsque l’informatique ne fonctionne pas, de nombreuses entreprises sont à l’arrêt. Mais ce n’est pas la seule raison qui devrait encourager les entreprises à chercher par tous les moyens à bloquer les attaques de cybercriminels. En effet, la direction peut également être tenue responsable des dommages causés par les cyberattaques. Mais comment une entreprise peut-elle déterminer le niveau de protection de son système informatique? Les Security Assessments et les tests de pénétration sont deux approches courantes.
Test de sécurité IT
Notre test de sécurité IT vous offrira rapidement un aperçu de l’état de la sécurité de votre système informatique; aperçu qui vous servira de base pour les étapes suivantes.
Security Assessment ou test de pénétration?
Un Security Assessment («évaluation de la sécurité» en français) analyse les mesures techniques et organisationnelles. Cette analyse n’exploite pas les failles de sécurité pour pénétrer dans les systèmes.
En revanche, un test de pénétration, ou pentest en abrégé, implique qu’un spécialiste de la sécurité tente de s’introduire dans les systèmes de l’entreprise, à la demande de celle-ci. Ainsi, un pentest montre les failles de sécurité existantes pouvant être exploitées par les cybercriminels.
Qu’est-ce qu’un Security Assessment?
Cette évaluation analyse les mesures de sécurité mises en œuvre. La procédure est largement standardisée et se déroule sous forme d’un entretien avec les responsables informatiques et les membres de la direction. Ils sont interrogés sur les mesures de protection techniques et organisationnelles. Voici quelques exemples des questions posées:
- Existe-t-il un concept pour la manipulation sécurisée des ordinateurs et des données, par exemple des directives sur les mots de passe et des droits d’accès adaptés aux tâches des employés?
- Existe-t-il des directives pour la configuration sécurisée des ordinateurs des postes de travail et des serveurs?
- Quel est le concept de sauvegarde pour restaurer les données en cas de panne?
En outre, un Assessment peut inclure un scanner de vulnérabilité. Cette recherche de vulnérabilités révèle toute faille de sécurité, due par exemple à une version de logiciel obsolète. Pour ce faire, on utilise un logiciel spécialisé qui examine tous les systèmes du réseau et peut également créer un inventaire du matériel utilisé.
Le résultat d’un Security Assessment est consigné dans un rapport. Cela permet non seulement d’avoir un aperçu des mesures mises en œuvre, mais aussi d’évaluer les risques identifiés. Ainsi, l’entreprise peut hiérarchiser les mesures de sécurité nécessaires. Si une entreprise met en œuvre ces recommandations, elle renforce la sécurité de l’ensemble de son infrastructure informatique.
Qu’est-ce qu’un test de pénétration?
Dans ce cas, un spécialiste de la sécurité (appelé «hacker») attaque l’infrastructure informatique au nom de l’entreprise avec les mêmes moyens que le feraient des cybercriminels. L’ampleur et la nature de l’attaque sont déterminées à l’avance en fonction des besoins individuels de l’entreprise. En voici quelques exemples:
- S’introduire dans le site web ou la boutique en ligne
- Fournir des droits d’accès administratifs aux systèmes du réseau de l’entreprise
- Accès au réseau de l’entreprise depuis l’extérieur
Le spécialiste de la sécurité tente alors de pénétrer les systèmes concernés à l’aide d’outils spéciaux. La procédure est en partie manuelle, en partie automatisée, et exploite à la fois les faiblesses des logiciels et les lacunes organisationnelles telles que les mots de passe non sécurisés. L’objectif habituel est d’obtenir des droits d’administration sur le système attaqué et d’en prendre le contrôle.
Comme pour le Security Assessment, les résultats du test de pénétration sont consignés dans un rapport. Il indique les failles de sécurité existantes et les mesures d’amélioration recommandées, classées par ordre de priorité en fonction du degré d’urgence ou de gravité de la faille de sécurité.
Audit de sécurité
Alors que l’Assessment et le pentest vérifient la sécurité du système informatique, l’audit de sécurité analyse les processus pour vérifier leur conformité à une norme spécifique. Il est utilisé lorsqu’une entreprise souhaite être certifiée, par exemple pour la sécurité de ses opérations informatiques conformément à la norme ISO 27001. Un tel audit est exhaustif et prend donc beaucoup de temps.
Quelle procédure convient à quel moment?
Un Security Assessment est recommandé comme point de départ pour vérifier l’état actuel de la sécurité. Il suffit à identifier les lacunes fondamentales et à prendre les mesures appropriées. En fonction de la responsabilité, il est judicieux de faire participer le partenaire informatique à cet Assessment.
En comparaison, un test de pénétration prend beaucoup plus de temps. Cela vaut la peine si le fonctionnement d’une entreprise dépend fortement de son infrastructure informatique. Par exemple, si l’ensemble de la vente se fait via une boutique en ligne ou si les commandes, les factures et la logistique sont gérées par un système ERP (logiciel d’entreprise) autonome.
Mais indépendamment de l’organisation de votre entreprise, souvent, ne rien faire du tout et devoir restaurer l’ensemble de l’infrastructure après une cyberattaque est l’option la plus coûteuse.
Security Assessment par Swisscom
Vous voulez connaître en détail le niveau de protection de votre système informatique? Dans le cadre de notre Security Assessment, des experts analysent votre infrastructure pour y déceler d’éventuelles lacunes et vous aider à réduire le risque d’une attaque réussie.