Accès direct au contenu principal

Easy Access: Secteur Public

IBM - Ministères et Défense


Nos offres

Solutions

Recherche


Pour tout renseignement

Isabelle Sauvage
IBM Stockage pour Pôle Emploi, les Mutuelles et la Mairie de Paris
02 38 55 75 28

Contactez votre Ingénieur d’Affaires :
Nicolas Fouquet-Lapar au +33 23 855 70 11
(responsable Ministères Software Tivoli)

Consultance et tranformation des SI

Actualités et innovations

Solution Défense

FNCO : Solution IBM pour La Défense

En réponse aux nouveaux besoins du monde de la Défense, IBM a conçu une plateforme logicielle : Framework for Network Centric Operations (FNCO)...


Des villes plus intelligentes

Ville de Besançon

Besançon, une « ville intelligente » gérée avec IBM Maximo. Une harmonisation des outils et pratiques de gestion entre tous les services.


Lutte contre la fraude

Solutions IBM de lutte contre la fraude

Lutte contre la fraude dans de grands organismes de Protection Sociale.




Loïc Guézo

Directeur technique IBM Security Solutions, IBM France

(Mars 2011)
Personne n'est à l'abri d'une intrusion informatique ! L'actualité toute récente le montre encore une fois…
En quelques années, et tout récemment, le nombre d'incidents majeurs relevant d'une intrusion malveillante, ciblée voire organisée et réalisée dans la durée, est passé d'anecdotique (voire fantasmatique pour certains) à extrêmement élevé et préoccupant. Tout dernier en date, l'intrusion ciblée sur la Direction du Trésor, au centre d'une attaque plus large sur l'appareil d'Etat français (Ce site ne fait pas partie du domaine ibm.com). Les différentes hypothèses, modalités et objectifs restent encore à valider ou éclaircir dans un domaine gris où il est bien difficile de démêler le blanc du noir... (Ce site ne fait pas partie du domaine ibm.com).
Mais dorénavant, toute entreprise consciente de ce risque nouveau "qui n'arrivait qu'aux autres...", doit mettre en place une campagne régulière de test d’intrusion. Ceci entre dans la gouvernance des moyens et procédures de sécurité à implémenter.

Trois types de test d’intrusion

• Externe (avec ou sans renseignement préalable sur l'infrastructure ou l'organisation ciblée), simulant un attaquant par Internet

• Interne (avec ou sans renseignement préalable sur l'infrastructure ou l'organisation ciblée), simulant un comportement d'utilisateur infiltré ou interne malveillant

• Applicatif spécifique, qui est qualifié de test en boîte noire (quand aucune information n'est fournie), en boîte blanche (quand toutes les informations sont fournies, allant jusqu'à la configuration des équipements ou des login/password d'utilisateur), ou en boîte grise pour une version intermédiaire.

Les objectifs sont clairs : demander à un prestataire (de confiance) de réaliser (sous mandat, avec toutes les autorisations légales inhérentes), une tentative d'intrusion informatique (en utilisant les outils et techniques des pirates), avec preuve de réussite (copie d'écran, fichiers confidentiels, ...).

Pour une PME innovante, il y va de la protection de ses informations vitales, de son image de marque, de sa continuité d'activité, et de la protection de son savoir-faire dans un monde globalisé.
Pour un groupe global, il s'agira de disposer de métriques sécurité sur les datacenters internationaux.

Pour une grande entreprise, il y a l'obligation de se mettre en conformité avec un référentiel de sécurité interne, une bonne pratique de mise en production d'une nouvelle application, une étape de la conformité avec PCI DSS.
Pour un RSSI, il s'agit simplement de faire correctement tourner la roue de Deming PDCA de son SMSI et d'appuyer sur le Check ; pour tel autre, il s'agit d'établir rapidement un état des lieux de la sécurité de son infrastructure...

Ce test n'a pas vocation à être exhaustif quant aux possibilités : son principal objectif reste de montrer que dans le temps imparti, les défenses et mesures de protection actuellement en place sont efficientes. Ou plus pragmatiquement de montrer les failles les plus critiques et de conseiller sur un plan de remise à niveau (qui sera là aussi bien technique, à très court terme, pour les vulnérabilités maximales qu'organisationnel, à long terme quant à la mise place des processus de sécurité absents (configuration des postes de travail, supervision d'infrastructure interne ou externalisée, etc).

Ne nous méprenons pas sur un test au résultat correct : avec plus de temps, de renseignements ciblés, de moyens et de l'ingénierie sociale, ou tout simplement lors d'une mise en production "un peu trop rapide" d'une nouvelle application sur le Web, le résultat reste invariablement favorable à l'attaquant...

La pratique régulière du test d'intrusion est une saine gymnastique, dans la catégorie "Discipline Imposée" ; la confrontation avec le résultat du premier test est toujours surprenant et méritera une attention toute particulière.

Seule la pratique régulière amènera une amélioration viable et un résultat proche du sans faute.

This page contains also video presentation which requires a newer version of Adobe Flash Player.

 

Besoin de précisions ?

IBM help

Contactez-nous tout simplement


Offre spéciale