Le "test de pénétration" à la loupe

Si les cadres sont sensibilisés par les menaces actuelles, ils veulent savoir comment leur entreprise se positionne en termes de sécurité informatique. Un "test de pénétration" est donc un choix évident pour eux. Les consultants en informatique sont mis au défi par une telle demande, car ils sont confrontés à un dilemme : faut-il répondre directement à la demande et effectuer le test souhaité ? Ou faut-il d'abord s'interroger sur les motivations et les attentes du client ?

Comprendre la motivation
Si le consultant en informatique le demande, il découvrira les raisons réelles de la demande. Toutefois, une demande de renseignements offre également au client la possibilité de réfléchir à sa demande. L'objectif est d'obtenir une vue d'ensemble de la situation afin de soutenir au mieux le client dans sa demande. Un "test de pénétration" n'est qu'une mesure possible. Il sert à identifier les points faibles du périmètre extérieur, c'est-à-dire à la frontière entre les réseaux internes et externes. Toutefois, sans un cadre clair, il n'est pas durable car il ne s'agit que d'un instantané.

Considérez l'ensemble des TIC
Il est donc nécessaire d'appréhender l'organisation et la responsabilité au sein des technologies de l'information ainsi que les règles et processus existants. Cela soulève des questions telles que : Le client dispose-t-il d'une gouvernance informatique ? Existe-t-il une stratégie en matière de TIC ? Accorde-t-il l'importance nécessaire à la sécurité informatique ? Existe-t-il des directives et des règles qui fournissent un cadre auquel l'informatique doit se conformer ? Les menaces sont-elles systématiquement enregistrées et évaluées ? Les réponses donnent une image différenciée. Il montre également si la demande du client pour un "test de pénétration" était ad hoc ou systématique.

Objectif du "test de pénétration
En tant que mesure, un "test de pénétration" permet de découvrir les failles de sécurité des systèmes TIC. L'accent est mis sur le contact avec les réseaux externes et les partenaires commerciaux. Les mesures découlant des résultats des tests sont destinées à empêcher une intrusion dans l'infrastructure TIC ou du moins à la rendre plus difficile. Pour autant que les lacunes constatées constituent une menace pour l'entreprise.

Analyse des risques recommandée
Une approche systématique et axée sur le risque permet d'identifier les menaces potentielles de toutes sortes. Dans une analyse des risques, leur impact sur l'entreprise est estimé sur la base de scénarios. Les risques sont ainsi identifiés, évalués et appréciés : quelle est la probabilité qu'ils se produisent et quels coûts ils entraîneraient. Les menaces pertinentes sont consignées dans un registre des risques. De cette manière, les mesures peuvent être classées par ordre de priorité et mises en œuvre efficacement en fonction des risques les plus importants.

Après l'analyse des risques et les mesures de sécurité qui en découlent, le client formulera une commande claire pour le "Pe-netration Test". Car il connaît maintenant les effets possibles sur l'infrastructure TIC. Et il sait comment il veut traiter les résultats et à quels intervalles le test doit être répété.

Affronter activement le changement
Aujourd'hui, les entreprises et les technologies évoluent de manière dynamique : la mondialisation et la mise en réseau accroissent la complexité. Cela donne constamment lieu à de nouveaux dangers, mais aussi à des opportunités. Le défi consiste à faire systématiquement face aux dangers et, dans le même temps, à tirer parti des opportunités qui découlent de l'utilisation des technologies de l'information et de la communication. Ce faisant, il faut tenir compte des risques inclus et des restrictions consciemment introduites. Sans gouvernance des risques, les actions déclenchées spontanément - comme un "test de pénétration" non réfléchi - ressemblent davantage à des exercices symboliques sans bénéfices à long terme.