Pour gérer vos consentements :

Audits de sécurité : le gouvernement des Etats-Unis rase gratis

Le Department of Homeland Security (DHS), l’équivalent de notre ministère de l’Intérieur, offre aux entreprises américaines un service de tests de vulnérabilité. Baptisé NCATS (pour National Cybersecurity Assessment and Technical Services), ce programme vise à tester les défenses des grandes entreprises outre Atlantique, à commencer par les banques et les acteurs du secteur de l’énergie. Découvert par le blogueur Brian Krebs, NCATS cache un programme complet de tests de pénétration, composé de deux parties (une évaluation des risques et vulnérabilités et une appréciation au fil de l’eau de la ‘cyber-hygiène’ des entreprises). Objectif : aider les RSSI de ces organisations à mieux appréhender la surface d’attaque que leur organisation offre aux hackers. Les entreprises concernées sont évidemment prévenues de ces tests (elles signent une convention). Plus étonnant, le programme, tout à fait similaire à des services proposés par des prestataires spécialisés, est totalement gratuit pour elles.

L’évaluation des risques (appelée RVA pour Risk and Vulnerability Assessment) passe par un audit sur les systèmes d’exploitation, les bases de données et applications Web afin d’y détecter des vulnérabilités connues et de tester leur exploitation. S’y ajoute une détection des éventuels points d’accès pirates (comme des bornes Wifi non autorisées) et des tests visant à évaluer la capacité des employés à résister à des techniques d’ingénierie sociale et de spearphishing (hameçonnage ciblé dont sont souvent victimes les entreprises). La partie ‘cyber-hygiène’ se concentre sur une évaluation récurrente des systèmes accessibles par Internet, afin de découvrir et corriger les vulnérabilités rapidement, avant leur mise au jour par les pirates.

53 entreprises en profitent en 2015

Selon Brian Krebs, les organisations testées reçoivent un rapport sur les vulnérabilités découvertes et des conseils pour les réduire ou les faire disparaître. Bref, un ensemble de services complets. Le DHS produit même un rapport agrégeant les données de ses différents audits (l’édition 2014 est disponible ici, toujours sur le blog de Brian Krebs). En 2015, les services NCATS, aussi exploités pour tester la solidité des administrations, profiteront à 53 entreprises privées.

En France, le gouvernement a pour l’heure opté pour un dispositif différent, passant par la qualification de prestataires… appelés à facturer leurs services. La loi de programmation militaire de fin 2013 prévoit en effet que les OIV (les opérateurs d’importance vitale, au nombre d’environ 220, soit les principales banques, entreprises de l’énergie, des télécoms, etc.) remontent leurs incidents de sécurité à l’Anssi (Agence nationale de la sécurité des systèmes d’information) via un système de détection d’incidents de sécurité opéré par un prestataire de service qualifié par l’Agence gouvernementale. L’Anssi pourra opérer directement ces services de détection uniquement lorsque « l’opérateur d’importance vitale est une administration de l’Etat », expliquait son directeur dans nos colonnes en mars dernier.

11 Passi qualifiés

Pour compléter le dispositif, l’Anssi a aussi qualifié un certain nombre de sociétés pour les audits de sécurité : on parle alors de Passi (prestataires d’audit de la sécurité des systèmes d’information). A ce jour, 11 sociétés ont reçu le précieux label, le plus souvent sur les 5 catégories d’audit répertoriés par l’Agence (architecture, configuration, code source, intrusion, organisation et accès physiques) : Advens, Amossys, Bull, CGI, Hervé Schauer Consultants, I-Tracing, Intrinsec, Lexsi, Sogeti, Solucom et Thales. Quinze autres prestataires ont démarré le processus de qualification.

A lire aussi :

L’Anssi met son nez dans la sécurité des grandes entreprises

Cybersécurité : une législation de type OIV examinée aux États-Unis

Assises de la sécurité 2015 : L’Anssi couve les OIV

Crédit Photo : Ventura-Shutterstock

Recent Posts

Twitter : Elon Musk joue les équilibristes

Après avoir annoncé la suspension de l'accord pour le rachat de Twitter, Elon Musk s'est…

3 jours ago

Cybersécurité : CyberArk crée un fonds doté de 30 millions $

Financer une nouvelle génération de start-up des technologies de cybersécurité, c'est l'objectif affiché par CyberArk…

3 jours ago

Silicon Day Workplace : quelle Digital Workplace à l’heure du travail hybride ?

Silicon.fr vous invite à Silicon Day Workplace, une journée dédiée aux enjeux de la Digital…

3 jours ago

La Google I/O 2022 en huit points

Chiffrement, recherche, déréférencement, objets connectés, assistant vocal, bureautique... Bilan de la Google I/O 2022 en…

3 jours ago

IBM : une stratégie SaaS qui passe par AWS

Des bases de données à la gestion d'API, IBM va porter une partie de son…

3 jours ago

10 langages de programmation les plus populaires

Python domine le Tiobe Index. Toutefois, la popularité de C# a progressé le plus fortement…

4 jours ago