Site Web Secteur Public - Accueil

(Mars 2011)
Personne n'est à l'abri d'une intrusion informatique ! L'actualité toute récente le montre encore une fois…
En quelques années, et tout récemment, le nombre d'incidents majeurs relevant d'une intrusion malveillante, ciblée voire organisée et réalisée dans la durée, est passé d'anecdotique (voire fantasmatique pour certains) à extrêmement élevé et préoccupant. Tout dernier en date, l'intrusion ciblée sur la Direction du Trésor, au centre d'une attaque plus large sur l'appareil d'Etat français (Ce site ne fait pas partie du domaine ibm.com). Les différentes hypothèses, modalités et objectifs restent encore à valider ou éclaircir dans un domaine gris où il est bien difficile de démêler le blanc du noir... (Ce site ne fait pas partie du domaine ibm.com).
Mais dorénavant, toute entreprise consciente de ce risque nouveau "qui n'arrivait qu'aux autres...", doit mettre en place une campagne régulière de test d’intrusion. Ceci entre dans la gouvernance des moyens et procédures de sécurité à implémenter.

Trois types de test d’intrusion

• Externe (avec ou sans renseignement préalable sur l'infrastructure ou l'organisation ciblée), simulant un attaquant par Internet

• Interne (avec ou sans renseignement préalable sur l'infrastructure ou l'organisation ciblée), simulant un comportement d'utilisateur infiltré ou interne malveillant

• Applicatif spécifique, qui est qualifié de test en boîte noire (quand aucune information n'est fournie), en boîte blanche (quand toutes les informations sont fournies, allant jusqu'à la configuration des équipements ou des login/password d'utilisateur), ou en boîte grise pour une version intermédiaire.

Les objectifs sont clairs : demander à un prestataire (de confiance) de réaliser (sous mandat, avec toutes les autorisations légales inhérentes), une tentative d'intrusion informatique (en utilisant les outils et techniques des pirates), avec preuve de réussite (copie d'écran, fichiers confidentiels, ...).

Pour une PME innovante, il y va de la protection de ses informations vitales, de son image de marque, de sa continuité d'activité, et de la protection de son savoir-faire dans un monde globalisé.
Pour un groupe global, il s'agira de disposer de métriques sécurité sur les datacenters internationaux.

Pour une grande entreprise, il y a l'obligation de se mettre en conformité avec un référentiel de sécurité interne, une bonne pratique de mise en production d'une nouvelle application, une étape de la conformité avec PCI DSS.
Pour un RSSI, il s'agit simplement de faire correctement tourner la roue de Deming PDCA de son SMSI et d'appuyer sur le Check ; pour tel autre, il s'agit d'établir rapidement un état des lieux de la sécurité de son infrastructure...

Ce test n'a pas vocation à être exhaustif quant aux possibilités : son principal objectif reste de montrer que dans le temps imparti, les défenses et mesures de protection actuellement en place sont efficientes. Ou plus pragmatiquement de montrer les failles les plus critiques et de conseiller sur un plan de remise à niveau (qui sera là aussi bien technique, à très court terme, pour les vulnérabilités maximales qu'organisationnel, à long terme quant à la mise place des processus de sécurité absents (configuration des postes de travail, supervision d'infrastructure interne ou externalisée, etc).

Ne nous méprenons pas sur un test au résultat correct : avec plus de temps, de renseignements ciblés, de moyens et de l'ingénierie sociale, ou tout simplement lors d'une mise en production "un peu trop rapide" d'une nouvelle application sur le Web, le résultat reste invariablement favorable à l'attaquant...

La pratique régulière du test d'intrusion est une saine gymnastique, dans la catégorie "Discipline Imposée" ; la confrontation avec le résultat du premier test est toujours surprenant et méritera une attention toute particulière.

Seule la pratique régulière amènera une amélioration viable et un résultat proche du sans faute.