jeudi 19 octobre 2017

Accueil du site > Informatique > Sécurité Informatique > Sécurité et PME : comment bien mener les tests d’intrusion

Sécurité et PME : comment bien mener les tests d’intrusion

Jérôme Saiz, ZDNet France

mardi 10 janvier 2006, sélectionné par Spyworld

logo

Les PME sont elles aussi concernées par les tests d’intrusion en sécurité informatique. Mais encore faut-il leur proposer la prestation adéquate et motivante. Voici quelques repères pour procéder.

Les outils de sécurité s’adaptent désormais à tous les besoins des entreprises, y compris ceux, plus mesurés, des PME. Pour répondre aux mieux à cette clientèle spécifique, dépourvue souvent de personnel technique compétent, certains acteurs de la sécurité ont développé une nouvelle approche, qualifiée d’"hybride". Elle consiste à associer un test d’intrusion dans un système informatique à une première analyse éclairée de ses conséquences. Avec les propositions plus classiques, les entreprises, souvent de plus grande taille, reçoivent un bilan que leurs administrateurs étudient, étant capables ensuite de les mesures nécessaires.

L’approche hybride a été développée par certains prestataires spécialistes. Elle a été par exemple mise en oeuvre par le cabinet HSC sous le nom de "Tsar" (pour "Tests de vulnérabilités semi-automatiques récurrents"). L’idée est ainsi d’allier la rapidité des tests de vulnérabilité automatisés (proposés par exemple par Qualys) et l’expérience d’un consultant qui saura mieux interpréter les résultats et creuser là où cela a réellement du sens. En gros, proposer une approche et un service « deux en un ».

Affiner le processus

Toutefois, le cabinet semble être désormais revenu d’une telle démarche. Et s’en explique : « Nous préconisons aujourd’hui une approche plus pragmatique : des tests de vulnérabilités automatisés réguliers dans l’année (sans intervention d’un consultant, Ndlr), afin de s’assurer que les principes de bases de la sécurité sont respectés, tels que l’application des correctifs ou la qualité du filtrage », précise Hervé Schauer.

Dans un second temps, il s’agit d’affiner le processus : « Par des tests d’intrusion ciblés exclusivement sur les applicatifs métiers les plus sensibles, comme les serveurs web ou les têtes de pont VPN (réseau privé virtuel, Ndlr). Cette double approche permet de maîtriser ses dépenses en les ventilant intelligemment sur un budget annuel ». De quoi séduire des PME ne disposant pas de budgets informatiques pléthoriques ou extensibles.

Une prestation qui a ses limites

Attention à ne pas demander à ces tests d’intrusion rapides plus qu’ils ne peuvent offrir... « Il faut être réaliste : le test d’intrusion n’est pas une prestation miracle et il n’aura jamais l’exhaustivité, ni la rentabilité d’une prestation d’audit technique, dont le rapport est beaucoup plus pointu », poursuit Hervé Schauer.

Pour autant, le test d’intrusion pour les PME apporte un avantage secondaire souvent bien pratique : la sensibilisation de la direction de l’entreprise, lorsque celle-ci n’est pas franchement décidée à débloquer un budget sécurité plus conséquent. Et aussi lorsqu’elle pratique la politique du surplace, souvent très périlleuse, car elle expose l’entreprise. Il suffit, paradoxalement, que l’entreprise ait vécu une relative période calme en matière de sécurité informatique pour pousser à ce type de réaction et de facilité, afin d’investir l’argent sur des sujets plus urgents. Ou bien que le responsable informatique ait "tout pris sur lui" en termes de gestion courante, ne remontant pas assez cette problématique auprès de ses supérieurs... qui la jugeraient donc à tort secondaire.

Au besoin donc, rendre les choses plus "parlantes" pour un manager et adopter un discours didactique, n’est pas idiot ni superflu : « Le test d’intrusion a un aspect pratique et concret comparé à un audit qui est souvent très théorique. Si on intercepte les e-mails de la direction, cela devient immédiatement très parlant ! », s’amuse Cyrille Barthelemy, consultant sécurité chez Intrinsec. Et pour cause. Comme dans d’autres domaines informatiques et techniques, une démonstration vaut mieux qu’un long discours...


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :