Test d'intrusion : dans la peau d'un pirate
Sur le papier, le plan est parfait. Mais comment être certain que les mesures de sécurité déployées sur votre SI sont réellement efficaces face à une menace réelle ? L'une des méthodes les plus évidentes est de se mettre dans la peau du pirate et d'essayer de les contourner. Mais pour qu'il soit révélateur et engendre les bons enseignements, le test d'intrusion implique le respect de quelques bonnes pratiques.
Planifier et communiquer
Un test d'intrusion est un projet IT à part entière. À ce titre, il doit être soigneusement planifié et des moyens humains et financiers doivent lui être alloués. Les responsables métier seront également impliqués afin d'identifier les cibles les plus critiques et d'aligner les objectifs du test avec les attentes business.
Penser technologie et processus
Le test d'intrusion n'est pas qu'une vérification technique. C'est également l'occasion d'observer toute la chaîne de réaction. Au fur et à mesure de l'avancée du test, il sera primordial d'observer et de documenter les comportements des systèmes et des équipes concernées, afin d'ajuster par la suite le processus de réponse à incident et de prévoir les mises à jour et formations adéquates.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Prévoir l'ennemi intérieur
Beaucoup d'entreprises se contentent de simuler une attaque extérieure pour mettre leur défense périmétrique à l'épreuve. Mais la menace vient souvent de l'intérieur. Un scénario classique de phishing par exemple verra l'attaquant cibler en premier lieu un simple utilisateur pour remonter ensuite jusqu'à des informations plus sensibles en exploitant les vulnérabilités internes.
Bilan : comprendre.
Une fois le test réalisé, les chiffres doivent être correctement interprétés. Il est pour cela nécessaire de connaître en détail l'environnement IT de l'organisation au moment du test. Une hausse du nombre de vulnérabilités d'une année sur l'autre par exemple, peut ne pas être un indicateur significatif si le nombre d'appareils scannés a augmenté dans les mêmes proportions.
. et faire comprendre
Inutile ensuite de fournir aux dirigeants un rapport technique détaillé sur les vulnérabilités. Ces informations seront réservées aux spécialistes IT. Pour l'encadrement métier, mieux vaut mettre en avant les risques encourus pour l'activité et les mesures concrètes à prendre.
Élargir le spectre
Le test d'intrusion peut être une bonne occasion de revoir plus largement la sécurité de la société. Le test de sécurité réseau peut par exemple être associé à un test de sécurité physique du bâtiment, avec un pirate qui pénètrerait sans autorisation dans un bureau pour accéder à un PC par exemple.
Sur le même thème
Voir tous les articles Cybersécurité