Tests d’intrusion en entreprise : les pirates vous protègent !…
Le LIO (lutte contre l’informatique offensive) ne compte pas pour des prunes. Les professionnels, réunis par Le Cercle se posent la question: faut-il faire confiance à des spécialistes de l’intrusion ?
Désormais les professionnels ont le choix de protéger leurs installations mais aussi de les tester. Des groupes de « gentils pirates » se chargent de mettre en place les techniques connues des hackers pour percer les défenses d’une architecture, d’une application voire d’un site.
Gérard Leymarie, responsable sécurité Infrastructure du système d’information du groupe ACCOR commente le sentiment qu’ont nombre de professionnels sur la possibilité d’un test de leurs capacités : « Il est difficile de convaincre les sociétés de faire des tests. Pourtant leurs failles sont parfois évidentes, nous y voyons des vulnérabilités qu’un esprit mal intentionné pourrait facilement utiliser« .
Les tests d’intrusion (penetration tests) consistent à éprouver les moyens de protection d’un système d’information en essayant de s’y introduire. Traditionnellement, deux méthodes sont à distinguer:
– la boîte noire: elle consiste à infiltrer le réseau sans aucune connaissance du système, afin de réaliser un test en situation réelle ;
– la boîte blanche, c’est-à-dire en connaissant l’ensemble du système.
Une procédure que commente Arnaud Treps, ingénieur Sécurité du groupe ACCOR et membre de la cellule spécialisée dans les tests : « Sur nos méthodes, on a pas réinventé la roue. Après une période d’observation, on va mettre en place des méthodes comme l e OASP qu’utilisent les hackers.Après il faut bien se rendre compte que le biais le plus facile pour attaquer reste le navigateur Internet. Ajoutez-y un clavier, une souris et c’est à peu près tout le matériel nécessaire. L’objectif des tests est d’élever au maximum le niveau de protection afin que les pirates soient obligés de déployer des outils puissants« . Le groupe ACCOR, annonce ainsi mener environ 150 projets contractuels de ce type par an (intrusions et accompagnement de sécurité).
Un constat qui tient à tempérer Jean-Pierre Quemard, chef-responsable sécurité d’EADS : « Les mesures offensives doivent être l’apanage de l’Etat, mais la défense doit être prise en compte par les entreprises. Les tests d’intrusion sont une sorte de manière de voir à quel point la porte est solide, voilà tout. Ils sont utiles dans la mesure où ils servent aux professionnels à
connaître leurs faiblesses…« .
Voilà donc un débat qui pose la question de la confiance non seulement en ses propres ressources mais aussi dans les risques de voir une faille émerger à cause d’une erreur interne. En somme, le mal n’est pas toujours là où on l’attend le plus.
