nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Le test d'intrusion : un outil de vigilance pour la sécurité informatique des entreprises
A l’ère du numérique, les systèmes d’information représentent des éléments stratégiques majeurs et, par conséquent, des cibles particulièrement intéressantes pour toute personne malveillante. En effet, l’activité même d’une entreprise repose sur son réseau, dont elle est complètement dépendante et qui constitue son talon d’Achille.
Cela est d’autant plus problématique que les failles de sécurité se retrouvent aujourd’hui dans tous les systèmes d’information, ouvrant ainsi la voie aux vols de données, aux attaques concurrentielles, à l’installation de programmes malveillants, etc. Les conséquences de ces failles sont souvent dramatiques, tant sur la réputation que sur l’activité de l’entreprise : sa crédibilité sera mise à mal si sa responsabilité (civile et/ou pénale) est engagée du fait des dommages causés à des tiers, volontairement ou non.
Dans ce contexte, il s’avère indispensable de procéder à des tests d’intrusion (penetration test) en vue d’améliorer la sécurité du système d’information. Il s’agit d’une batterie de tests, automatisés ou non, exécutés depuis l’ordinateur d’un système d’information afin de détecter la présence de failles en permettant l’intrusion d’un utilisateur ou d’un agent non habilité. En d’autres termes, le prestataire (pentesteur) qui réalise ces tests adopte le comportement d’un attaquant potentiel.
Tester tous les cas de figure
Il existe différents types de tests selon l’objectif recherché de l’entreprise dont le système d’information est audité. Ainsi, ceux dits d’intrusion externe doivent fournir au responsable projet une vision de la sécurité de la plate-forme depuis internet à travers les techniques de recherche et d’exploitation des vulnérabilités. Ils reposent sur la simulation d’actions malveillantes provoquées par une personne qui ne dispose d’aucune information préalable sur l’environnement audité.
Les tests d’intrusion interne, au contraire, simulent l’intervention d’une personne malveillante ayant un accès physique au réseau de l’entreprise. Ils peuvent également s’effectuer sur le réseau Wi-Fi de l’entreprise. Quant à l’audit des postes de travail (forensic), il simule les actions d’une personne mal intentionnée qui aurait accès à un ordinateur portable (ou fixe) perdu ou volé.
On le voit, la mission du pentesteur est de détecter, puis d’exploiter des vulnérabilités du système d’information cible. Il s’agit ainsi de donner au client la possibilité d’évaluer le degré d’exposition aux menaces en mettant à jour les accès cachés ou détournés à son système d’information.
Des conditions écrites noir sur blanc
Il est absolument primordial que ces tests fassent l’objet d’un encadrement contractuel. Un périmètre d’action au-delà duquel le pentesteur ne doit pas s’aventurer sera établi contractuellement. Comme seront délimitées in extenso les responsabilités du prestataire de service et de l’entreprise souhaitant effectuer ce test d’intrusion. A titre d’illustration, le contrat doit impérativement intégrer une clause spécifiant que l’entreprise reconnaît que, malgré la réalisation de tests d’intrusion, elle ne pourra être assurée que son environnement informatique est définitivement sécurisé et qu’il est absolument impossible d’identifier les vulnérabilités d’un système d’information de manière exhaustive.
De même, il est essentiel d’insérer une clause relative aux tiers pouvant être touchés par les tests d’intrusion, comme les fournisseurs d’accès ou les hébergeurs, en précisant à qui appartient la charge d’obtenir les autorisations des tiers concernés par ces opérations.
Compte tenu de la nature de la mission du pentesteur, il convient également d’anticiper toute perte ou destruction éventuelle de données en déterminant à qui incombera la charge de procéder à leur sauvegarde et à celle des applications afin de pouvoir, le cas échéant, les reconstituer.
En conclusion, il faut rappeler l’importance que revêt la mise en œuvre fréquente de tests d’intrusion pour les entreprises et, plus largement, l’instauration d’une politique de sécurité efficace visant à protéger leur système d’information. Avec le temps et les progrès technologiques constants, les personnes malintentionnées finissent toujours par trouver les moyens de passer outre les barrières de sécurité. L’actualisation de ces moyens de défense représente donc un enjeu crucial, notamment grâce à ces tests. En outre, dans ce contexte de crise économique, l’impossibilité pour l’entreprise d’exercer son activité suite à une atteinte portée à son système d’information aurait des conséquences désastreuses.
Garance Mathias
Avocate, elle a décidé de créer sa propre structure consacrée à l'activité des entreprises et plus particulièrement aux problématiques de sécurité informatique, de contrats tant en conseil qu'en contentieux. Garance Mathias a accepté de nous apporter un éclairage à partir de son expérience issue de la rencontre entre juridique et sécurité informatique.
Actu précédente
Actu Suivante
Avis sur «Le test d'intrusion : un outil de vigilance pour la sécurité informatique des entreprises»
à lire aussi
SUR LES MÊMES THÈMES 
