Informatique | Infogerance
Sécurité : les tests d'intrusion se mettent à la portée des PME
Auteur : Jérôme Saiz
Du : 02/01/2006
Le test d'intrusion est un outil très efficace pour les responsables de sécurité. Jusqu'à présent plutôt réservé aux grandes entreprises, à cause de son coût et de sa lourdeur, il s'adapte désormais aux PME qui ont tout à y gagner. Première partie du dossier.
En matière de gestion de la sécurité, les PME sont souvent seules face à cette problématique. Elles s'en remettent dans bien des cas à leur intégrateur ou à leur fournisseur d'accès pour la gestion des équipements (en général des entreprises voisines ou implantées dans leur localité). Commander un test d'intrusion peut alors s'avérer une vraie bouée de sauvetage, ou au moins une option.
Pourtant, bien peu d'entre elles y pensent : « Nous constatons que chez les PME, 80 % du budget sécurité est dévolu à l'achat de solutions de filtrage réseau ou à la sécurité du poste de travail. Le test d'intrusion est pour elles une prestation de luxe! Il intervient le plus souvent à l'arrivée d'un nouveau DSI, à la création d'un poste de RSSi ou après un incident », observe Hervé Schauer, du cabinet Hervé Schauer Consultants. Une décision qui n'est donc pas vraiment prise à titre préventif, ce qui constitue un mauvais point de départ à toute politique sérieuse de sécurité.
Une prestation qui s'adapte aux PME
Les grands comptes sont familiers avec ce type de prestation; leurs équipes chargées de la sécurité savent tirer rapidement profit du rapport d'intrusion. Les PME, par contre, auraient plutôt besoin d'un accompagnement presque pédagogique, didactique. Justement, les consultants ont su adapter leurs offres au budget et aux attentes des petites entreprises. « Ce que nous vendons aux PME est en réalité une prestation hybride entre un test de vulnérabilité, un test d'intrusion et une prestation de conseil en sécurité », explique Cyrille Barthelemy, consultant sécurité chez Intrinsec. Un service effectué le plus rapidement possible (trois jours le plus souvent) et pour un coût réduit (généralement autour de 3 000 euros HT).
Test, mais aussi mise en perspective
Le test d'intrusion pour PME a, de fait, évolué. Il ne s'agit plus de vendre uniquement un acte de piratage en profondeur, aussi fracassant soit-il, suivi d'un rapport abstrait (qui sera vite rangé dans un tiroir). Mais plutôt d'une prestation rapide d'évaluation de la sécurité vue de l'extérieur. « Nous commençons par un audit automatisé des vulnérabilités, puis un consultant qualifie celles-ci et les utilise comme point de départ. Car aucun système automatisé ne pourra remplacer un humain pour exploiter les failles. Nous nous appuyons pour cette phase sur notre expérience d'intégration des produits, et sur notre connaissance des erreurs classiques commises par les développeurs », détaille Cyrille Barthelemy.
À l'issue de ces tentatives d'exploitation, le consultant qualifie les vulnérabilités en fonction des priorités de l'entreprise et, surtout, rédige une série de recommandation afin que le scénario d'attaque mis en oeuvre ne se reproduise plus. « Cette prestation se déroule généralement sur trois ou quatre jours pour une architecture simple », précise le consultant. Elle ne peut, bien entendu, pas couvrir tout le périmètre ou tous les risques : le consultant tente de pénétrer le système par la voie la plus simple ; il peut passer à côté d'autres chemins plus tortueux. Ce qui est souvent le cas des pirates opportunistes.
En matière de gestion de la sécurité, les PME sont souvent seules face à cette problématique. Elles s'en remettent dans bien des cas à leur intégrateur ou à leur fournisseur d'accès pour la gestion des équipements (en général des entreprises voisines ou implantées dans leur localité). Commander un test d'intrusion peut alors s'avérer une vraie bouée de sauvetage, ou au moins une option.
Pourtant, bien peu d'entre elles y pensent : « Nous constatons que chez les PME, 80 % du budget sécurité est dévolu à l'achat de solutions de filtrage réseau ou à la sécurité du poste de travail. Le test d'intrusion est pour elles une prestation de luxe! Il intervient le plus souvent à l'arrivée d'un nouveau DSI, à la création d'un poste de RSSi ou après un incident », observe Hervé Schauer, du cabinet Hervé Schauer Consultants. Une décision qui n'est donc pas vraiment prise à titre préventif, ce qui constitue un mauvais point de départ à toute politique sérieuse de sécurité.
Une prestation qui s'adapte aux PME
Les grands comptes sont familiers avec ce type de prestation; leurs équipes chargées de la sécurité savent tirer rapidement profit du rapport d'intrusion. Les PME, par contre, auraient plutôt besoin d'un accompagnement presque pédagogique, didactique. Justement, les consultants ont su adapter leurs offres au budget et aux attentes des petites entreprises. « Ce que nous vendons aux PME est en réalité une prestation hybride entre un test de vulnérabilité, un test d'intrusion et une prestation de conseil en sécurité », explique Cyrille Barthelemy, consultant sécurité chez Intrinsec. Un service effectué le plus rapidement possible (trois jours le plus souvent) et pour un coût réduit (généralement autour de 3 000 euros HT).
Test, mais aussi mise en perspective
Le test d'intrusion pour PME a, de fait, évolué. Il ne s'agit plus de vendre uniquement un acte de piratage en profondeur, aussi fracassant soit-il, suivi d'un rapport abstrait (qui sera vite rangé dans un tiroir). Mais plutôt d'une prestation rapide d'évaluation de la sécurité vue de l'extérieur. « Nous commençons par un audit automatisé des vulnérabilités, puis un consultant qualifie celles-ci et les utilise comme point de départ. Car aucun système automatisé ne pourra remplacer un humain pour exploiter les failles. Nous nous appuyons pour cette phase sur notre expérience d'intégration des produits, et sur notre connaissance des erreurs classiques commises par les développeurs », détaille Cyrille Barthelemy.
À l'issue de ces tentatives d'exploitation, le consultant qualifie les vulnérabilités en fonction des priorités de l'entreprise et, surtout, rédige une série de recommandation afin que le scénario d'attaque mis en oeuvre ne se reproduise plus. « Cette prestation se déroule généralement sur trois ou quatre jours pour une architecture simple », précise le consultant. Elle ne peut, bien entendu, pas couvrir tout le périmètre ou tous les risques : le consultant tente de pénétrer le système par la voie la plus simple ; il peut passer à côté d'autres chemins plus tortueux. Ce qui est souvent le cas des pirates opportunistes.
Articles en rapport avec Informatique | Infogerance :
[2009-02-03] - informatique : La prudence est de rigueur sur les services informatiques et les logiciels
[2009-02-03] - icrosoft s'essouffle et supprime 5000 emplois
[2009-01-18] - Les défis de Carol Bartz, la nouvelle directrice générale de Yahoo
[2009-01-06] - Dell confirme sa réorganisation en quatre pôles stratégiques
[2008-11-18] - EDS France cède son activité AS/400 à ECS
[2008-11-18] - Yahoo! cherche un nouveau PDG pour succéder à Jerry Yang
[2008-11-18] - Diminution du nombre de fusions-acquisitions dans l'informatique
[2008-06-24] - Microsoft rachète Navic, spécialiste des campagnes publicitaires à la télé
[2008-05-14] - HP s'offre EDS et rivalise avec IBM dans les services
[2008-05-07] - Microsoft prêt à renchérir jusqu'à 33 dollars par action
[2008-04-27] - Fusion dans l'optimisation réseau longue distance