systeme_informatique_securite

11 mai 2023

Cet article a pour but de brosser le portrait de trois approches qui vous permettront d’évaluer de manière proactive le niveau de sécurité de tout ou partie de votre système informatique. Cela peut concerner aussi bien votre socle technique, applicatif, ou organisationnel.

Si les budgets RSSI liés aux problématiques cyber sont amenés à croître, certaines pratiques simples peuvent déjà vous permettre d’éviter le pire : un précédent article de Lucas, Directeur Opérationnel de Padok Security, nous expliquait par exemple comment appliquer les meilleurs principes DevSecOps pour améliorer son système de sécurité. Avant de débuter, nous vous invitons à lire un articles sur les différentes questions que l'on peut se poser sur la sécurité dans le cloud.

Niveau 1 : le scan de vulnérabilités

Qu’est-ce que c’est ?

Un scan de vulnérabilités est un processus pouvant être automatisé et permettant de passer au peigne fin tout ou partie d’un système informatique (application, serveurs, réseau). Le but ? Déceler d’éventuelles vulnérabilités, c'est-à-dire des faiblesses et erreurs dans la manière dont un système est conçu, configuré et protégé.

Dans quel contexte et à quelle fréquence y recourir ?

Il est recommandé de réaliser ces tests plusieurs fois par an en interne : a minima une fois par trimestre et au mieux une fois par mois. La plupart de ces scans étant automatiques, il est d’autant plus aisé d’en mener de façon régulière.

De manière plus granulaire, il est également possible de mettre en place des outils réalisant des scans à chaque nouveau déploiement (pour vérifier que les dépendances sont bien mises à jour par exemple).

Avantages et inconvénients

Avantages :

  • Coût : ces scans peuvent être réalisés en interne, donc à moindre coût, et sont pour certaines des outils Open Source
  • Temps : Il est possible d’utiliser des outils automatiques, qui peuvent prendre seulement quelques heures à aboutir, en fonction du périmètre défini.

Inconvénients :

  • Pertinence : l’analyse reste en surface et tous les scans ne recommandent pas nécessairement de correctifs aux failles identifiées.
  • Qualité : il existe régulièrement de faux positifs dans ces scans, ce qui nécessite une intervention humaine pour faire le tri par la suite.
  • Priorisation : ces scans remontent des vulnérabilités non contextualisées avec vos enjeux business et nécessitent donc une intervention humaine pour reprioriser les chantiers à entreprendre.

Mais quel rapport avec notre maison ?

Dans ce scénario, l’idée est de faire vous-même le tour de votre maison (= SI) afin de lister l’ensemble des failles pouvant mener à une infraction : une fenêtre cassée, une serrure datant du 18ème siècle, une caméra de surveillance à plat, etc (= vulnérabilités).

L’exercice ne va pas plus loin, et votre liste ne vous dira pas nécessairement si ces failles sont effectivement exploitables : peut-être que la serrure, en apparence fragile, s’avérera finalement inviolable. Impossible de le savoir tant que vous n’essayez pas de la forcer.

Niveau 2 : l’audit de sécurité

Qu’est-ce que c’est ?

Un audit de sécurité consiste en une intervention humaine, souvent effectuée par un prestataire, et permettant d’avoir une vue à l’instant T de tout ou partie des risques de sécurité d’un SI.

Le but est cette fois-ci d’en vérifier non seulement la conformité par rapport à des référentiels et protocoles établis (par exemple des procédures ou des lois/réglementations propres au domaine de l’entreprise), mais de profiter également de l’expertise d’un auditeur.

Dans quel contexte et à quelle fréquence y recourir ?

Compte tenu du coût de ces audits, la fréquence est logiquement moins élevée que des scans de vulnérabilités. Elle dépend également grandement de l’exposition de votre entreprise et de l’industrie dans laquelle elle évolue : une institution financière ou un laboratoire pharmaceutique auront tendance à mener ces audits plus régulièrement.

En moyenne, il est donc recommandé d’organiser un audit par an minimum, et un par trimestre idéalement. Ces audits peuvent également s’avérer nécessaires en cas de violation de données, mises à jour de systèmes ou migrations de données. Ou plus globalement, tout changement majeur dans votre SI.

Avantages et inconvénients

Avantages :

  • Expertise et objectivité : un audit mené par un acteur extérieur vous permet d’obtenir des observations et des recommandations plus approfondies et pertinentes. Cela permet également d’éviter toute opacité ou conflit d’intérêts vs. un audit qui serait mené en interne.
  • Réglementation : un audit permet d’obtenir “un tampon”, ou la preuve que votre SI est conforme à certaines normes. Il peut notamment vous préparer pour un audit plus officiel (gouvernement, organisations type ANSSI, etc.)

Inconvénients :

  • Coût : l’appel à un prestataire extérieur est en effet plus coûteux qu’un scan de vulnérabilité ou même un audit mené en interne
  • Temps : l’expert doit prendre le temps de se familiariser avec votre SI et à vos enjeux business pour vous faire les meilleures recommandations possibles.

Mais quel rapport avec notre maison ?

Vous demandez cette fois-ci à votre voisin, agent de police, de réaliser le précédent exercice à votre place. Celui-ci portera un œil plus objectif et aiguisé sur la sécurité de votre maison, et connaît surtout les normes de sécurité du marché.

Non seulement il pourra observer les failles potentielles de votre maison (comme vous), mais il vous fera en plus des recommandations pour vous mettre au standard du marché : porte blindée, serrure cinq points, vitres antieffraction… Cependant, il ne fait toujours qu’observer et n’essaie pas de s’introduire chez vous.

Niveau 3 : le test de pénétration, ou “pentest”

Qu’est-ce que c’est ?

Le test d’intrusion, ou “penetration testing” (pentest), permet de contextualiser une attaque et exploiter au maximum les failles trouvées. C’est finalement un audit plus réaliste et concret : vous mandatez une personne externe à votre entreprise pour qu’elle se mette dans la peau d’un hacker et attaque votre SI (applications, serveurs, réseau).

Il est même possible de simuler physiquement un scénario réel d’attaque, en simulant le vol d’un poste de développeur par exemple.

Il existe trois manières de mener ces pentests :

  • En boîte noire (“black box”) : l’attaquant n’a aucun accès/information sur votre SI. Ce mode simule une attaque d’un hacker complètement étranger à votre entreprise.
  • En boîte grise (“grey box”) : l’attaquant a quelques accès à votre SI. Ce mode de fonctionnement simule par exemple une tentative d’intrusion par un ancien employé qui n’aurait pas toutes les dernières informations en date.
  • En boîte blanche (“white box”) : l’attaquant a tous les accès nécessaires à votre SI. Ce mode de fonctionnement simule par exemple une tentative d’intrusion par employé de l’entreprise, ou bien par un attaquant ayant des accès depuis l’entreprise. C’est donc une méthode qui se rapproche grandement de l’audit de sécurité, l’intention étant légèrement différente (intention de compromettre vs. objectif de conformité)

Pour plonger dans la pratique, suivez directement une attaque de cluster Kubernetes réalisée par Thibault, Directeur Technique de Padok Security, en juillet 2021.

Dans quel contexte et à quelle fréquence y recourir ?

De la même manière que pour les audits de sécurité, la fréquence dépend grandement de votre exposition et de l’industrie dans laquelle évolue votre entreprise.

Attention cependant à ne pas se méprendre : tous les sites et applications sont confrontés à des risques. Pour des applications hautement sensibles, il est conseillé d’en réaliser légèrement plus que les normes du marché. Pour une application peu exposée, il peut suffire d’en réaliser à chaque montée de version majeure.

Avantages et inconvénients

Avantages :

  • Réalisme/pertinence : le pentest est la démarche la plus concrète de simuler une réelle attaque, le rapport est donc moins hypothétique et les recommandations très activables.

Inconvénients :

  • Risque : en simulant une attaque en condition réelle, vous exposez entièrement la sécurité de votre SI. Un pentest mal calibré peut avoir des conséquences telles que la corruption de données ou encore le crash de serveurs
  • Éthique : les techniques utilisées étant les mêmes que de vrais hackers, il est important de sonder et savoir de quelle manière ces pentests peuvent être perçus par vos employés, vos clients, vos prestataires, etc.

Mais quel rapport avec notre maison ?

Vous demandez cette fois-ci à ce même voisin, toujours en poste au commissariat du coin, de s’introduire chez vous, mais par un endroit précis et le plus sensible : votre porte d’entrée.

Son objectif : avoir accès et tenter de compromettre un maximum de biens à l’intérieur de votre maison, analyser les principales failles et lister ce qui peut facilement être dérobé.

Vous avez cependant le choix entre trois approches :

  • Boîte blanche : vous lui donnez non seulement les clés de votre porte d’entrée, mais également celles de votre garage, de votre coffre-fort, etc. 
  • Boîte grise : vous lui donnez uniquement les clés de votre porte d’entrée
  • Boîte noire : vous ne lui donnez rien et vous voyez s’il arrive à pénétrer chez vous.

Ce test pratique vous permettra de confronter les hypothèses que vous aviez sur la sécurité de votre maison à la réalité. Et peut-être que cette serrure du 18ème siècle à laquelle vous teniez tant s’avérera bien plus solide que ce qu’indiquaient les rapports de scan ou d’audit…

Conclusion

Plusieurs approches vous permettent donc d’analyser le niveau de sécurité de votre SI. Il vous est tout à fait possible d’en cumuler plusieurs, mais votre décision dépendra de plusieurs critères : la sensibilité du milieu de votre entreprise, la taille de votre SI, ainsi que le temps et le budget que vous souhaitez y allouer.

Si vous souhaitez creuser davantage le sujet, ou si votre entreprise est déjà suffisamment mature dessus, une quatrième approche est susceptible de vous intéresser : le pentest “Red Team”.

Dérivé du pentest classique, cette approche couvre un périmètre bien plus large (tout un SI par exemple) S’étale sur une période de temps plus longue (plusieurs mois) Implique que très peu de personnes de votre entreprise soient au courant.

Envie de passer à l’acte ? N’hésitez pas à nous contacter !