Dans la peau d'un cybercriminel

Vous dirigez une entreprise ou êtes en charge de sa sécurité et vous craignez, à juste titre, la cybercriminalité. Face à cette menace difficile à cerner, vous vous questionnez sur la meilleure méthode à mettre en œuvre. Et si, pour une fois, vous preniez le rôle du pirate? L’idée, loin d’être saugrenue, est une technique souvent utilisée: elle permet de tester ses failles informatiques du point de vue d’un potentiel attaquant, avant qu’elles ne soient réellement exploitées par des personnes malintentionnées. Un changement radical de perspective et de logique.

Scans de vulnérabilité et tests de pénétration

Deux approches sont possibles. En premier lieu, les scans de vulnérabilités. Souvent automatisées, ces détections systématiques passent en revue tous les systèmes et applications de votre entreprise exposés sur internet (sites publics, applications d’e-commerce, etc.) afin de détecter leurs faiblesses, et ainsi permettre de les corriger au plus vite.

L’autre option, qui va beaucoup plus loin, ce sont les tests de pénétration ou pen-tests, souvent réalisés par des entreprises spécialisées. Ici, il s’agit d’utiliser une ou plusieurs vulnérabilités existantes – une erreur de codage sur votre site par exemple – ou de détourner la logique de fonctionnement de l’application pour voir jusqu’où un pirate pourra vous causer du tort: ralentissement de vos outils, vol de données sensibles, rétention ou destruction de données-clés… Parfois, les criminels en ligne n’ont pas un objectif précis: ils se contentent d’exploiter une faiblesse, comme un voleur pourrait entrer dans une maison à partir d’une porte restée ouverte. A ce titre, le pen-test s’apparente à une simulation de vol ou d’incendie. Un exercice parfois long et prenant, mais qui vaut la peine d’être considéré, notamment pour les entreprises riches en données ou très exposées sur le net.

Publié le 22 novembre 2016 dans 24Heures