La protection des données fait aujourd’hui partie des enjeux majeurs pour les entreprises. Dans un monde de plus en plus interconnecté où la collecte d’informations occupe une place de plus en plus fondamentale, l’exposition aux cyber-attaques ne cesse de croître. Pour faire face à ces enjeux croissants de cybersécurité, des entreprises, ESN ou cabinets de conseils, comme Infogene, Ethic IT ou Akerva par exemple accompagnent leurs clients sur tout ou partie de leurs problématiques de sécurité informatique, via différents types de tests et d’audits.
Audit des vulnérabilités
Les audits de vulnérabilité évaluent le système d’information d’une entreprise à la recherche des éventuelles faiblesses. Ces faiblesses peuvent aussi bien correspondre à des points d’entrée exploitables par des cybercriminels qu’à des scripts pouvant être exploités par des pirates.
L’audit de vulnérabilité compare les applications et les services exécutés par le système d’information à une base de données incluant les différentes faiblesses recensées. Il agit comme un véritable cybercriminel en enquêtant sur les vulnérabilités potentielles du SI. Une partie de l’audit se fait de manière externe, sans authentification (le système est présenté tel qu’un tiers le verrait) et une autre partie se fait de manière interne, avec authentification (le système est présenté tel qu’un utilisateur du SI le verrait) afin de déceler les faiblesses internes comme externes.
Test d’intrusion
C’est l’un des tests les plus utilisés en cybersécurité. Le test d’intrusion, ou test de pénétration, consiste à demander à des experts en cybersécurité de tenter de s’attaquer au système d’information de l’entreprise de manière délibérée. L’objectif de cette manœuvre ? Tenter d’évaluer le niveau de sécurité informatique de l’entreprise. C’est ce que l’on appelle le « piratage éthique ».
Le test d’intrusion agit en complément de l’audit des vulnérabilités. Alors que ce dernier permet de déceler toutes les faiblesses du réseau de l’entreprise, le test de pénétration va encore plus loin puisqu’il permet de déterminer les différents types de cyberattaques dont le SI de l’entreprise peut être victime. Il s’agit donc d’un moyen efficace de mettre en avant les faiblesses d’un système d’information et de montrer les différents types de piratage possibles.
Le test de pénétration peut, tout comme l’audit des vulnérabilités, s’effectuer dans le réseau ou en dehors afin de monter les faiblesses en interne comme en externe. Ce test, qui peut être en partie automatisé, est réalisé par un consultant spécialisé en cybersécurité.
Il est recommandé de faire faire un test d’intrusion au moins une fois par an, et ce peu importe la taille de l’entreprise.
Audit des fournisseurs
L’univers de la cybersécurité est en constante transformation. Depuis quelques années, l’on voit se développer à vitesse grand V les cyberattaques via les fournisseurs. En effet, pour les pirates, il est souvent bien plus facile de passer par un fournisseur – dont le niveau de sécurité est généralement moins important – pour accéder à une entreprise, cette dernière faisant bien souvent confiance à ses fournisseurs. Mais attention, la confiance a ses limites et des contrôles réguliers s’avèrent indispensables pour limiter les risques.
Le contrôle des fournisseurs passe par leur questionnement régulier et l’évaluation de leur niveau de sécurité. Ce contrôle a l’avantage de profiter à toutes les parties, aussi bien à l’entreprise qu’à ses partenaires de confiance.
Vérification des mises à jour
Les failles de sécurité informatique proviennent souvent de la non-régularité – voire de l’absence – de mise à jour des logiciels. Ne pas mettre régulièrement son système d’information à jour, c’est offrir aux pirates informatiques une opportunité de pénétrer dans l’entreprise. En effet, à travers les mises à jour, les développeurs corrigent les éventuelles vulnérabilités au fur et à mesure de leur découverte. C’est ce que l’on appelle des « correctifs ». Sans ces correctifs, les entreprises s’exposent à d’importants risques en matière de cybersécurité.