Audits de sécurité : le gouvernement des Etats-Unis rase gratis

Le Department of Homeland Security (DHS), l’équivalent de notre ministère de l’Intérieur, offre aux entreprises américaines un service de tests de vulnérabilité. Baptisé NCATS (pour National Cybersecurity Assessment and Technical Services), ce programme vise à tester les défenses des grandes entreprises outre Atlantique, à commencer par les banques et les acteurs du secteur de l’énergie. Découvert par le blogueur Brian Krebs, NCATS cache un programme complet de tests de pénétration, composé de deux parties (une évaluation des risques et vulnérabilités et une appréciation au fil de l’eau de la ‘cyber-hygiène’ des entreprises). Objectif : aider les RSSI de ces organisations à mieux appréhender la surface d’attaque que leur organisation offre aux hackers. Les entreprises concernées sont évidemment prévenues de ces tests (elles signent une convention). Plus étonnant, le programme, tout à fait similaire à des services proposés par des prestataires spécialisés, est totalement gratuit pour elles.

L’évaluation des risques (appelée RVA pour Risk and Vulnerability Assessment) passe par un audit sur les systèmes d’exploitation, les bases de données et applications Web afin d’y détecter des vulnérabilités connues et de tester leur exploitation. S’y ajoute une détection des éventuels points d’accès pirates (comme des bornes Wifi non autorisées) et des tests visant à évaluer la capacité des employés à résister à des techniques d’ingénierie sociale et de spearphishing (hameçonnage ciblé dont sont souvent victimes les entreprises). La partie ‘cyber-hygiène’ se concentre sur une évaluation récurrente des systèmes accessibles par Internet, afin de découvrir et corriger les vulnérabilités rapidement, avant leur mise au jour par les pirates.

53 entreprises en profitent en 2015

Selon Brian Krebs, les organisations testées reçoivent un rapport sur les vulnérabilités découvertes et des conseils pour les réduire ou les faire disparaître. Bref, un ensemble de services complets. Le DHS produit même un rapport agrégeant les données de ses différents audits (l’édition 2014 est disponible ici, toujours sur le blog de Brian Krebs). En 2015, les services NCATS, aussi exploités pour tester la solidité des administrations, profiteront à 53 entreprises privées.

En France, le gouvernement a pour l’heure opté pour un dispositif différent, passant par la qualification de prestataires… appelés à facturer leurs services. La loi de programmation militaire de fin 2013 prévoit en effet que les OIV (les opérateurs d’importance vitale, au nombre d’environ 220, soit les principales banques, entreprises de l’énergie, des télécoms, etc.) remontent leurs incidents de sécurité à l’Anssi (Agence nationale de la sécurité des systèmes d’information) via un système de détection d’incidents de sécurité opéré par un prestataire de service qualifié par l’Agence gouvernementale. L’Anssi pourra opérer directement ces services de détection uniquement lorsque « l’opérateur d’importance vitale est une administration de l’Etat », expliquait son directeur dans nos colonnes en mars dernier.

11 Passi qualifiés

Pour compléter le dispositif, l’Anssi a aussi qualifié un certain nombre de sociétés pour les audits de sécurité : on parle alors de Passi (prestataires d’audit de la sécurité des systèmes d’information). A ce jour, 11 sociétés ont reçu le précieux label, le plus souvent sur les 5 catégories d’audit répertoriés par l’Agence (architecture, configuration, code source, intrusion, organisation et accès physiques) : Advens, Amossys, Bull, CGI, Hervé Schauer Consultants, I-Tracing, Intrinsec, Lexsi, Sogeti, Solucom et Thales. Quinze autres prestataires ont démarré le processus de qualification.

Cybersécurité : une législation de type OIV examinée aux États-Unis

Assises de la sécurité 2015 : L’Anssi couve les OIV