L'audit, pierre angulaire de la sécurité informatique L'audit de vulnérabilité, à privilégier face au test d'intrusion ?

Se mettre dans la peau d'un pirate

Pour les responsables de la sécurité des systèmes d'information (RSSI), les tests d'intrusion sont plutôt séduisants au premier abord. Mis en œuvre soit depuis un poste interne de l'entreprise, soit depuis l'extérieur via un point d'accès Wi-fi par exemple, ils consistent à éprouver une plate-forme informatique d'entreprise comme le ferait un pirate.

pascal antonini est vice-président de l'afai et responsable en charge du pôle
Pascal Antonini est vice-président de l'Afai et responsable en charge du pôle Sécurité chez Ernst&Young © JDN Solutions

"Ils peuvent être menés selon trois méthodes, l'approche 'boîte noire','boîte grise', ou 'boîte blanche', selon que l'équipe d'experts en sécurité dispose ou non d'informations techniques et métiers sur le système en question : les adresses IP, le nom des serveurs principaux...", explique Florent Skrabacz, directeur du département audit de Lexsi.

Sites Web, serveurs de messagerie, postes de travail, applications métiers... L'ensemble des briques du système d'information peuvent ainsi faire l'objet de tentatives d'intrusion visant à éprouver leur robustesse.

Les audits de vulnérabilité jugés plus efficaces

Une alternative est souvent opposée aux tests d'intrusion : les audits de vulnérabilité et de configuration technique. Une prestation qui consiste à contrôler l'adéquation du paramétrage d'un système avec les règles de l'art en matière de sécurité (sur le plan de la gestion des droits d'accès, de la gestion des services pour palier aux failles...).

Une approche permettant de bénéficier d'une vue complète du système

"Il est clair que cette approche permet de mettre plus efficacement le doigt sur les problèmes et les déficiences techniques. Elle permet en effet à l'auditeur de bénéficier d'une vue complète du système", pointe Vincent Maret, responsable audit et sécurité chez Ernst & Young.

Et Pascal Antonini, vice-président de l'Afai et directeur en charge du pôle Sécurité du cabinet, d'ajouter : "il est clair que le test d'intrusion apporte moins d'assurance que l'audit de sécurité. Il n'en reste pas moins que le test peut être intéressant pour un RSSI qui cherche à faire prendre conscience à sa direction d'un risque, avec pour objectif ensuite d'obtenir plus rapidement des moyens."

Serveurs / Audit