Chez SRC Solution, le pôle SSI (Cybersécurité) est composé majoritairement de prestation de gouvernance, afin de compléter la portée de nos conseils, nous proposons aussi un aspect beaucoup plus technique et terrain pour la sécurité de vos systèmes d’information : les pentests. Une réelle méthodologie d’évaluation de risque, basée sur la mise à l’épreuve réelle de votre système d’information. 

Dans cet article, nous vous présenterons le principe, quel est l’intérêt et pourquoi en faire. 

 

La théorie vs la réalité : quel est l’intérêt des pentests ? 

Le pentest (penetration test) ou test d’intrusion est avant tout une méthode d’évaluation de risque de la sécurité de votre système d’information. C’est à dire que l’on simule une attaque réelle dans plusieurs contextes possibles : 

• Sans aucune information, aussi appeler “Black hat” 
• Avec peu d’information, peut-être l’accès à un compte interne ou la connaissance du fonctionnement, aussi appeler ‘Grey hat » 
• Avec toutes les informations possibles, appeler “White hat” 

 

Ces 3 configurations permettent de couvrir la majorité des situations possibles, mais dans quels objectifs ? : 

• Identifier les vulnérabilités (Humaines, techniques, financières …) 
• Prioriser les remédiations

 

Ces tests sont applicables dans ces situations : 

• Interne, directement sur le réseau de l’entreprise 
• Externe, depuis internet 
• Applicatif, ici on test un site internet ou une application 
• Social engineering, ici ce sont les collaborateurs qui sont testés via des tests de phishing   

Le testeur va passer par différentes étapes durant le déroulé du test, menant finalement au rapport rédigé, montrant les tentatives et le chemin utilisé pour arriver à la dernière position que le testeur a pu atteindre. Ce rapport est accompagné d’une notation des vulnérabilités afin de juger et de piloter les actions correctives par ordre de priorité. 

 

 

Les vraies bonnes raisons 

 

Le coût de l’ignorance : Identifier une faille menant à sa correction via un pentest coûte quelques heures de travail, cependant, une attaque menant que ce soit à une fuite de donnée, un arrêt de vos processus ou plus grave, peut vous coûter plus chère que ce soit financièrement directement ou par répercussion. 

La conformité n’est plus une option de nos jours, que l’on parle de norme ISO ou encore du RGPD, la résistance réelle de votre système d’information n’est plus une option ou une simple question de conformité. Vos plus gros clients regarderont et se verront rassurer de travailler avec une entreprise soucieuse de sa sécurité. 

 

Alors n’attendez plus et ne mettez plus en danger votre activité en nous contactant ici.