Les cybercriminels développent chaque jour des techniques toujours plus puissantes pour cibler des organisations spécifiques et collecter sans vergogne des informations. Aucun secteur n’est épargné. Quand la défense ne suffit plus, il faut savoir s’auto-attaquer. Tenter une intrusion au sein de sa propre organisation permet en effet de tester sa sécurité et d’optimiser sa stratégie de défense. Pour bien faire, il convient cependant de respecter quelques bonnes pratiques.
Tribune par Daniel Gonzalez, directeur des alliances et des solutions chez Insight.
L’attaque, la meilleure défense
Pour savoir si ma porte d’entrée est bien fermée, j’essaie de l’ouvrir sans clé, en activant la poignée pour vérifier la bonne fermeture de la serrure, ou en donnant un bon coup d’épaule dans le vantail pour m’assurer que les points d’ancrage résistent bien.
A ce titre, les “pen tests” – ou tests de pénétration – sont des tests de sécurité utiles pour trouver et exploiter les vulnérabilités d’un système informatique. Ces tentatives fictives d’intrusion consistent en une simulation qui a pour objectif d’identifier les points faibles que les pirates pourraient exploiter à des fins malveillantes. On pourra dans ce contexte mettre au point de fausses attaques, venant principalement de l’extérieur. Elles peuvent prendre la forme de faux tests envoyés aux collaborateurs, ou de faux virus afin de vérifier comment les données réagissent et si les outils mis en place remontent bien les alertes.
En cas de failles ou des problématiques spécifiques, on les corrige et on optimise ainsi la protection du système informatique. Il en va de même en matière de plan de reprise ou de continuité d’activité (PRA-PCA) et du back-up des données. L’entreprise devant assurer sa pérennité, elle ne peut pas attendre qu’un véritable incendie touche son système informatique pour être sûr que ses points d’accès sont protégés, ses données dupliquées, et des solutions de secours opérationnelles déployées.
S’attaquer pour être sûr qu’on est bien défendu, une évidence ? Pas forcément, alors qu’il s’agit là du meilleur moyen pour s’assurer que la porte est bien fermée et pour tester l’environnement mis en place pour se protéger.
Assurer sa défense, les bonnes pratiques
Pour attaquer et optimiser son système de défense, il convient de respecter quelques bonnes pratiques. On veillera en premier lieu à embaucher non pas un, mais plusieurs cambrioleurs. En utilisant différents outils, on pourra en effet tester davantage de scénarios d’intrusion et s’attaquer à différents niveaux de l’organisation pour une appréhension et une restitution globale des failles et des risques.
Il ne faudra toutefois pas se limiter à une tentative de cambriolage unique une fois la sécurité de la maison optimisée. Les utilisateurs comme les systèmes devront faire l’objet d’attaques régulières, vu l’évolution constante des outils et des capacités des cyberattaquants. Tester régulièrement (au moins une fois par mois) le back up de données et la reprise d’activité permet ainsi de s’assurer que les outils sont bien configurés et que la défense adéquate est en place pour faire face à l’instant T à tout type d’intrusion, interne ou externe.
Il conviendra également de nommer en interne un référent de la sécurité – RSSI, CISO ou tout autre fonction inhérente à l’IT. Il s’agira de garantir la mise en œuvre d’une politique de sécurité efficace, et d’en assurer le suivi et le reporting auprès de la direction et de l’entreprise dans son ensemble pour des raisons stratégiques et évidentes s’il y a vol de données par exemple. Ce référent interne pourra travailler de concert avec une société externe de conseil et de services, au fait des évolutions techniques et relatives à la cybersécurité, et dont le métier n’est pas celui de l’entreprise.
Il sera plus judicieux que l’attaque soit effectuée par des pirates éthiques externes à l’organisation. Des experts en cybersécurité qui ne font pas partie de l’entreprise ne connaîtront pas les lieux. À quoi bon embaucher un cambrioleur s’il est aussi le propriétaire de la maison à attaquer ? Un contractant extérieur sera ainsi en mesure d’identifier des points faibles peut-être inconnus des développeurs, et fournira, en complément des solutions déployées, des informations précieuses sur les mesures de sécurité à renforcer.
La défense active, un travail d’équipe au service de la réputation de l’entreprise
L’idée, en somme : ne restez pas seul, et sachez vous entourer. Une bonne équipe, ce sont des attaquants et des défenseurs qui font front, main dans la main, face à l’intrus, et qui n’attendent pas que le mal soit fait pour réparer les dégâts. Il en va de la protection de l’activité des entreprises, mais aussi de la nécessaire conformité à des standards de sécurité toujours plus élevés et exigeants (HDS, hébergement de données bancaires, RGPD). Une sécurité certifiée, ce sont aussi des partenaires rassurés : les utilisateurs, certes, mais aussi les fournisseurs et les investisseurs. Plus qu’une stratégie technique, l’attaque pour mieux se défendre est finalement la meilleure arme au service de votre réputation.