Que penser des tests d'intrusion ?

Soumis par webmaster le lun 31/05/2021 - 21:37
Cyber traditional approach

 

C'est quoi les tests d'intrusion ?

 

Comme son nom l'indique, il s'agit pour une organisation d'effectuer des tentatives d'intrusion dans leur système d'information et de communication.

L'objectif de ces tests est de détecter les failles et les points faibles de manière à évaluer le niveau de protection et la résilience du système.

 

Les limites de cette approche

 

Ces tests sont conduits sur un système en production:

 

  • ce qui présente des risques significatifs

  • il n'est pas possible de conduire des tests destructifs

  • les tests effectués sont le plus souvent basés sur des cas connus, documentés

  • ils se concentrent sur les composantes d'accès aux systèmes, aux bases de données, aux réseaux, parfois à certains composants logiciels

  • ils doivent êtres menés de manière récurrente, adaptée et mise à jour, en principe lors de chaque ajout, modification, évolution d'une composante du système

 

Autrement dit, ce type de tests présente des risques de perturbation du système en production et ne permet pas une évaluation complètement fiable.

 

 

S'ils ne sont pas inutiles, les tests induisent des risques additionnels réels et très importants

 

  • car il faut faire appel à des experts en piratage externes pour éviter les biais des tests et pour reproduire au plus près des conditions d'attaques réelles,

  • vous communiquez des informations stratégiques, sensibles et confidentielles à des tierces parties,

  • vous prenez le risque de payer votre futur pirate pour qu'il apprenne, teste et au final qu'il vous nuise. Un contrat commercial, contractuel avec une entreprise ne peut pas vous protéger d'un comportement personnel malicieux d'un individu...

 

En d'autres termes, vous ajoutez des risques élevés et vous payer pour !

 

Alors que faut-il faire ?

 

Dans une étude du Gartner Group, publiée en 2017 déjà, était mentionnée la nécessité d'employer des outils de simulation dans le domaine de la Cyber Sécurité.

Et d'annoncer l'adoption d'une approche dénommée CARTA (Continuous Adaptive Risk and Trust Assessment), laissant ainsi entendre que cette nouvelle approche (désignée par le vocable anglais "cyber range") allait s'imposer, devenir une exigence pour la plus grande part des organisations.

 

Le problème est que cette approche est difficile et coûteuse à mettre en place car elle requiert des investissements dans des outils et des compétences hautement spécialisées et rares, et que l'ensemble doit être constamment maintenu à niveau avec des développements qui sont sans fin.

Pour des organisations de petite et moyenne taille, dans la pratique ce n'est pas envisageable, ni même toujours pour des organisations importantes par le fait du manque de ressources compétentes et des raisons économiques. 

 

C'est pourquoi ERALYS propose sa Plateforme de Services Cybernétiques

 

 

ERALYS a construit une "Plateforme de Tests de Sécurité Cybernétique"

Couvrant la globalité des champs nécessaires, traités par un outil dénommé SIMOC pour SIMulation Operation Control.

 

 

Avec SIMOC

  • le déroulement des actions et des opérations d'attaque est simulé dans une réplique, un clone de votre système, ce qui permet tous les tests, y compris destructifs, sans risques pour le système en production

  • vous gérez vous-mêmes vos informations stratégiques qui restent donc confidentielles, sous votre contrôle

  • vous évitez des investissements et vous réduisez les coûts opérationnels

  • vous bénéficiez, si besoin, d'une assistance sur mesure par les équipes spécialisées Eralys, qui assurent une veille permanente et font évoluer les outils pour vous.

 

 

 

Étiquettes