En sécurité, une fois qu´on a atteint un niveau donné, on ne le conserve pas : il se produit une érosion avec le temps, due aux
mouvements de personnels, à l´installation de nouvelles applications ou la prise en compte de nouvelles tâches. Il suffit d´un
mois pour constater une différence notable dans la sécurité d´une entreprise.
Et à moins d´avoir confié la gestion de sa sécurité à un RSSI, il est alors nécessaire de savoir mesurer le niveau de sécurité de l´entreprise, afin de procéder à des contrôles réguliers. L´objectif est de pouvoir comparer plusieurs lectures successives afin de déceler au plus tôt une baisse du niveau de sécurité de l´entreprise. Mais qu´est-ce qu´un "niveau de sécurité", sinon une notion floue et souvent arbitraire, qui se prête mal à une
mesure objective ?
La solution miracle serait de pouvoir réaliser des audits à répétition. Mais le coût de telles prestations ne le permet pas, même chez les
grands comptes. La solution passe alors par des audits de vulnérabilités automatisés. Peu chers et disponibles à volonté, ils
constituent un palliatif tout à fait acceptable. Bien sûr, ces audits-là ne vont pas indiquer que le compte de tel utilisateur existe toujours
un mois après son départ de l´entreprise, ou que tel mot de passe n´a jamais été changé. Mais, généralement pratiqués depuis Internet, ils
permettent d´ausculter le périmètre extérieur de l´entreprise afin d ´en dénicher les failles de sécurité connues qui pourraient être
exploitées par un pirate. Ils permettent de détecter le changement de configuration que l´on pensait anodin, mais qui ouvre en réalité une
brèche de sécurité majeure. Ou le firewall que le technicien, chez le prestataire d´infogérance, a ouvert "provisoirement", le mois
dernier...Ces audits s´achètent le plus souvent sur abonnement, et permettent à l´entreprise de réaliser autant de tests qu´elle le
souhaite, n´importe quand. Les tests sont lancés depuis internet, et les rapports, souvent très détaillés, sont consultables en ligne. Les
services proposent également des tableaux de bord qui permettent de suivre l´évolution du niveau de sécurité (selon des notes
calculées avec des barèmes propriétaires parfois un peu obscurs, ou tout simplement en fonction du nombre de vulnérabilités détectées).
Cela reste superficiel, mais après tout, c´est du niveau de la grande majorité des pirates que l´on rencontre sur Internet : ils ne font guère
plus qu´attendre qu´une vulnérabilité soit publiée pour tenter de l´exploiter sur un maximum de victimes ! Enfin, de tels tests
récurrents permettent de conserver l´étanchéité de périmètre extérieur, entre deux vrais audits de sécurité, ce que les experts
conseillent de renouveler chaque année.
Sylvain Bonnet Passemar
--------------------------------------------------------------------
Adresse du blog : https://blogs.mediapart.fr/sp-0/blog
Passionné d'informatique, de nouvelle technologie, et de société de l'information, j'édite ce blog qui traite de sujet de sécurité informatique. Le but de ce blog est de s’adresser auprès d’un public varié : direction, utilisateur, informaticien. C’est pour cela qu’il est hébergé sur un site généraliste. La sécurité, c’est une en premier lieu une organisation, et non un rôle purement technique. J'ai commencé ma carrière dans la presse informatique dans les années 90, puis un long passage très intéressant comme informaticien en salle des marchés et banque d'investissement, puis une administration internationale.