Préparer un audit PENTEST et le compléter

Le Système d’Information, plus que jamais important

L’accroissement de la digitalisation des sociétés permet d’aller toujours plus vite dans le développement de son activité. Les Systèmes d’Informations n’ont jamais été aussi importants. Les nouvelles technologies en constantes créations ne vont qu’amplifier cet état. L’informatique devient alors vital pour toute entreprise digitale.

Les personnes malintentionnées se sont parfaitement adaptées à cette évolution numérique pour en faire leur propre Business. Les hackers sont à la pointe de la technologie. Les attaques sont de plus en plus fréquentes. Les préjudices pour les entreprises sont proportionnels au poids du digital dans l’activité, pouvant aller jusqu’à sa perte dans certaines situations.

Assurer la sécurité grâce à l’audit PENTEST

L’enjeu de la sécurité est à présent parfaitement compris par les sociétés qui investissent dans le domaine. Dans ce contexte, les audits PENTEST (tests d’intrusions en français), permettant de simuler des attaques, ont fait leurs preuves. Grâce à leur pragmatisme, ils identifient très concrètement où sont les failles de sécurité et comment les corriger.

Néanmoins, dans de nombreuses sociétés, cette transformation digitale a dû se faire rapidement. Pour rester compétitives sur le marché, ont parfois été mis de côté les aspects sécuritaires, coûteux et ralentissant la mise en œuvre. Les vulnérabilités et corrections à appliquer suite aux audits PENTEST sont alors pléthoriques à cause de la dette technique accumulée sur le SI.

De plus, l’un des défauts des tests d’intrusions et de leur plan d’action est qu’ils n’aident pas à avoir une meilleure maîtrise de l’infrastructure – ce qui est la base pour correctement sécuriser son IT. En effet, les corrections, par définition, ne sont que curatives – c’est bien là où les départements informatiques ont besoin de visibilité sur le parc. Se placer dans la proactivité permet de limiter le risque de répétition des failles et vulnérabilités dans les mois qui suivront l’audit PENTEST.

Assurer la stabilité de son SI grâce à l’audit IT pour préparer le PENTEST

L’un des biais pour se préparer à ces tests d’intrusions (ou pour perdurer la stabilité du SI suite aux corrections apportées en aval de ces tests) consiste à faire un état des lieux des forces et faiblesses du Système d’Information. Au travers d’un « audit » informatique plus large, il est moins orienté « sécurité » que le PENTEST.

Ce type d’audit, ressemblant à un « contrôle technique », remet à plat les bases et bonnes pratiques de gestion d’un parc informatique pour ainsi avoir la visibilité nécessaire pour prendre des décisions et le gouverner :

• identifier précisément les équipements se connectant sur le réseau,
• réguler sa comptabilité en ayant une liste exhaustive d’actifs informatiques pour préparer leur amortissement et le bilan comptable,
• identifier les équipements obsolètes, les renouvellements de licences à prévoir,
• s’assurer de l’homogénéité du parc pour faciliter la gestion,
• cibler les QuickWins d’améliorations, …

Revoir les priorités de l’IT

Malheureusement cette maîtrise de l’infrastructure n’est que trop peu présente dans les sociétés où le personnel IT est souvent surchargé et où la priorité a été mise sur les projets de développements Business. Les basiques de la gestion d’infrastructure ne sont alors pas maîtrisés. La sécurité par conséquent non plus. Cela augmente donc les failles et récidives possibles même après avoir réalisé des audits de sécurité de type PENTEST.

Au-delà de disposer d’une vision exhaustive de l’état de son infrastructure (qui n’est déjà pas le cas dans de nombreux services informatiques), ce type d’audit permettra d’anticiper les chantiers prioritaires et de se concentrer sur l’important. L’énergie dépensée pour la maintenance du parc et donc l’optimisation des coûts sera plus efficace par les collaborateurs IT.

Concrètement, un service informatique qui subit les demandes quotidiennes des utilisateurs aura à sa disposition un outil lui permettant de prendre du recul. Il identifiera clairement à l’aide des résultats sur quel(s) aspect(s) de son infrastructure se focaliser pour gommer de façon définitive un incident ou une demande utilisateur récurrente. Les collaborateurs techniques se concentreront alors sur des tâches à plus fortes valeurs ajoutées, et donc moins dans la réactivité des nuisances quotidiennes.

La récurrence pour assurer des actions efficaces et préparer l’audit PENTEST

Aussi, ces audits standards et rapides à mettre en œuvre sont facilement transposables d’une réalisation « one-shot » à une fréquence récurrente et automatisée. De fait, un audit trimestriel imposera une cadence dans le traitement des améliorations de l’IT. Fréquence idéale pour se fixer des objectifs à moyen terme, plus concrets et avec un réel checkpoint sur la progression des avancées. Cela diminue également la dette technique qui s’accumule entre deux audits « one-shot » ayant lieu tous les 3 ans généralement.

Toutes ces actions faites en amont du traitement sécuritaire de l’audit PENTEST amélioreront l’hygiène de vie du Système d’Information :

• limitant ainsi le risque de rechute,
• soulageant le travail quotidien des informaticiens
• et se positionnant dans une politique plus proactive.

Enfin, pour réaliser un audit PENTEST exhaustif et proposer un plan d’action complet, les auditeurs ont besoin de connaitre à minima le SI analysé. La cartographie réseau, l’inventaire exhaustif des machines, la cartographie applicative ou encore la configuration physique et système des équipements sont les critères à fournir pour aider l’auditeur dans son travail. Trop peu de services informatiques ne disposent de ces éléments de bases à jour. Là encore, l’audit d’infrastructure en continu accompagnera l’auditeur sécurité.