ARS Solutions Surveillance 365 Jours par Année 418 872-4744
Nouvelle addresse ARS Solutions : 1035 avenue Wilfrid-Pelletier, Tour B, Bureau 370 Québec, QC, G1W 0C5
Expert Cybersécurité Testeur de Réseaux
5 Raisons pour Investir dans les Tests de Pénétration
Les hackers sont d'abord et avant tout des opportunistes qui utilisent des scanners destinés à tester des milliers de systèmes en simultané. Sur la base des failles et faiblesses observables, ces outils dressent ensuite la liste des endroits les plus prometteurs. S'il est facile de pénétrer vos ordinateurs, les chances que cela se produisent deviennent donc soudainement très élevées car les cybercriminels s'intéresseront davantage aux maillons faibles qu'aux dispositifs robustes. La plupart des hacks d'intrusion sont le fruit d'individus agissant par appât du gain et leur appétit n'a guère de limite : ils tenteront de voler tout ce qui peut représenter une valeur. Leur but sera soit de vous demander une rançon (en vous menaçant avec du chantage), soit de détourner de l'argent, soit de revendre vos données/logiciels/carnet de clients/etc. Dans quelques cas plus rares, des hacktivistes s'attaqueront à votre organisation pour des raisons idéologiques (par exemples des végans s'en prendront à une entreprise faisant le commerce de la viande de manière à nuire ou carrément stopper le déroulement de ses affaires).
Embaucher un expert en cybersécurité pour tester vos serveurs, ordinateurs, systèmes téléphoniques, sauvegardes cloud, etc. c'est se soumettre à un exercice proactif qui pourrait vous faire économiser beaucoup de stress et d'argent.
Voici 5 raisons pour lesquelles un test de pénétration représente un investissement stratégique pour toutes les organisations.
#1 : Des tests d'intrusion à l'avant-garde des techniques
Énormément d'entreprises font confiance à leur responsable informatique et les employés sous sa charge pour maintenir et sécuriser leur parc informatique. Or, ce type d'équipe est éparpillé entre la gestion de l'hébergement, le site web, les réseaux sociaux, les serveurs de courriel, les sauvegardes de données, la réparation des ordinateurs, les mises à jour des logiciels, etc. Même des organisations comptant plus de 1000 employés possèdent rarement des employés dont le métier premier en est un d'expert cybersécurité et dont la tâche à temps plein consiste à vous protéger sur tous les azimuts. Or, un technicien consultant en cybersécurité baigne dans la marmite à l'année longue (souvent depuis plus de 15 ou 20 ans) et a tout vu, tout connu, tout entendu. Il est au fait des méthodes les plus imaginatives, dangereuses et dernier cri. Il appartient aussi à une communauté d'experts qui partagent leurs connaissances et outils pour barrer la route aux pirates en plus de participer à des sessions de formation. Il possède aussi une certification CREST reconnue qui valide ses capacités techniques et son expérience. Mais le plus grand avantage que possède un expert cybersécurité c'est celui de se consacrer exclusivement aux tests de pénétration, cela sans dérangement extérieur (comme par exemples des tâches qui n'ont rien à voir avec la sécurité informatique).
#2 : Un regard extérieur OBJECTIF
Même si vous embauchez un véritable expert cybersécurité et que vous lui confiez la tâche de tester à temps plein les ordinateurs, serveurs et équipements connectés qui appartiennent à votre organisation, celui-ci sera hésitant à vous dire vos 4 vérités. Pourquoi?
Tout d'abord pour ne pas heurter les sensibilités tant des gestionnaires que des autres employés (lesquels, il ne faut pas l'oublier, deviennent pour lui des "collègues" de travail). Il sera alors forcé de travailler avec des pincettes et en ménageant les susceptibilités. Vous n'y croyez pas? Imaginez par exemple que votre spécialiste utilise des méthodes d'ingénierie sociale pour tester/tromper la vigilance d'un employé. En se faisant passer pour un fournisseur, un autre collègue, ou encore un manager, son test consistera à obtenir un accès, un password ou une donnée-clé qui au final fera très mal paraître la victime. Il est très difficile d'appartenir à une organisation et s'intégrer à celle-ci lorsque votre tâche est de tromper vos collègues. Car oui, le "social engineering" fait partie d'une recette gagnante pour sécurité vos système. Encore trop de gens croient que tout n'est qu'une affaire de virus, de phishing et de firewall. Pourtant en 2020, le maillon le plus faible demeure encore et toujours l'humain.
Deuxièmement, puisqu'il sera pour lui délicat de réaliser un audit de cybersécurité dévastateur et d'aller le présenter à la direction. Une approche plus mitigée et diplomate ne permettra pas de réagir en implantant des mesures franchement musclées. Les dirigeants se verront proposés des contre-mesures modérées. Ce type de rapport expert vs. dirigeants provoque l'impression générale que tout va bien. Peu de leaders apprécieront se faire reprocher des décisions actuelles et passées. Il n'y a guère de chance que ceux-ci félicitent ensuite leur ressource interne. Ils trouveront plutôt l'individu imbuvable et désagréable et auront généralement l'impression qu'il y a exagération. Que l'employé est tout simplement en train de crier au loup. En revanche, une agence externe va s'enorgueillir de la qualité et profondeur de son rapport. Plus en trouvera de failles et de zones de faiblesse, plus cela justifiera la valeur de ses prestations par rapport au client.
Finalement, un regard de l'extérieur permet une confidentialité plus grande (par contrat béton). Les gestionnaires peuvent ensuite prendre des contre-mesures sans que le mot se propage à l'interne au niveau de la vulnérabilité actuelle. Cela affectera positivement la crédibilité même de votre image auprès de vos travailleurs.
#3 : Technologies dispendieuses et supérieures
Un expert en cybersécurité possède un accès direct à des logiciels et appareils de point dont le coût est prohibitif pour une une autre entreprise dont l'activité commerciale ou institutionnelle n'est pas reliée à la cybersécurité. Les licences d'utilisation annuelle des logiciels, firewalls, anti-virus routeurs, etc. (ex: Kaspersky, BullGuard, WRT Firmware, Checkpoint, PaloAlto, AirWartch MDM, Sophos XG, Cisco ASA NGFW, Fortinet FortiGate...) de calibre industriel et militaire sont dispendieuses. Un coffre d'outil peut s'élever à 250.000$ (par année!) et voire davantage.
En plus de coûter chers, ces outils (à la fois utilisés pour tester et colmater les brèches) requièrent un savoir-faire technique très avancé pour être utilisés efficacement. Si votre intention est de tout acheter et de donner ce coffre d'outils à votre responsable informatique pour qu'il improvise, vous commettrez certainement une grave erreur. Le moindre oubli dans la configuration pourrait ouvrir une faille toute béante que les hackers verront mais qui restera invisible à vos propres tests de pénétration.
#4 : Des économies d'argent (en réduisant les tests d'intrusion à l'interne)
Oui, dépenser plus pour embaucher une agence externe vous permettra généralement d'économiser à l'interne car vous pourrez réaffecter votre personnel informatique à d'autres tâches plus productives sur le plan des affaires.
Ensuite, les firmes externes peuvent vous faire épargner sur le coût des licences en agissant à titre de revendeurs pour la location d'application et de logiciels et/ou l'achat d'équipements. Elles parviennent à faire baisser la facture en profitant d'un prix d'achat au volume. De plus, elles peuvent vous louer non pas des applications entières mais seulement des modules. Donc, vous ne payez que pour ce dont vous avez besoin et non pas pour toute la suite avancée. Certaines PMEs ne dépenseront parfois que 95$ par mois pour l'ensemble tandis que tout acheter pourrait représenter une coquette somme au-delà des 25.000$.
#5 : L'avantage des tests de pénétration bidirectionnels et transversaux
En ayant un point d'accès de l'intérieur, l'expert cybersécurité profite d'un avantage que les hackers n'ont pas. Il peut donc comparer les 2 côtés du miroir et voir comment vos systèmes réagissent en tant réels durant un exercice d'intrusion. Voici une liste non exhaustive :
- Scanner Netsparker (vulnérabilité base de données SQL)
- Acunetix (test XSS)
- Core Impact (audit des exploit Metasploit de calibre commercial)
- Probely (approche API pour repérer les failles OWASP, ISO27001, PCI-DSS et plus encore)
- SIndusface (repère les malwares ainsi que les faux-positifs)
- Spyse (couvre les certificats SSL et n'importe quel élément appartenant au rayon de la méchanique OSINT)
- Metasploit (consacré à la robustesse des serveurs de types Linux, Apple, Microsoft, Unix)
- Intruder (pour les sauvegardes de données en infonuagique)
- Wireshark (analyseur de protocoles de réseaux Solaris, FreeBSD, Windows et Linux)
- W3AF (écoute des attaques en temps réel en provenance du web
- Nessus (pour réaliser des tests de compliance via des scans IP, des passerelles de connexion...)
- Burpsuite / Portswigger (imitateur de proxy, crawler, utilisateur virtuel)
- Cain Abel (cracker de mot de passe par force brute ou encore par attaque de crypto-analyse)
Un système de surveillance sera encore plus efficace s'il peut être piloté de l'intérieur. En anglais, les Américains appellent cela dissiper le "fog of war". C'est à dire voir clair à 100% sans points cachés derrière un brouillard opaque fait d'un enchevêtrement de technologies obsolètes ou configurées de manière inefficace mais qui exercent quand même une sorte de défense improvisée et qui ne permet pas au technicien d'avoir un aperçu complet de la situation.
---
Comme dit l'adage, il n'existe pas de forteresse imprenable. Mais la somme des verrous et la qualité de l'installation permet de décourager les cybercriminels pour qui le temps c'est de l'argent. Qu'il s'agisse de vous prémunir contre une perte de prestige, des pertes monétaires ou de l'espionnage industriel, un expert en cybersécurité peu forcer les intrus les plus déterminés à devoir consacrer des sommes d'heures inimaginables. Plus solide sera votre stratégie de cyper-protection, plus les hackers préféreront s'en prendre à vos compétiteurs plus vulnérables. Pour y parvenir, l'anticipation est la clé. Savoir repérer et réparer les failles et vulnérabilités en amont plutôt qu'en réaction est une façon de faire qui a fait ses preuves à de moults reprises. Il existe un marché florissant et compétitif à Montréal et Québec pour les spécialistes indépendants qui mettront à votre disposition un véritable arsenal d'équipements, logiciels, programmes virtuels, techniques et sessions de formation qui ont fait leurs preuves tant pour les petites PMEs que les grandes institutions à portée internationale.
En terminant, quand au terme d'un processus de tests de pénétration en profondeur a été complété que votre agence ne parvient plus elle-même à s'introduire nulle part, il y a fort à parier que les cybercriminels n'y parviendront pas non plus.
Soumettre
votre site
(lien réciproque obligatoire)
*Site
récemment ajoutés
|