Sommaire
Ces opérations servent à mesurer l’efficacité des dispositifs de sécurité mis en place pour la protection des réseaux informatiques. Les résultats permettront d’identifier les failles ou les risques et de concevoir les solutions adaptées. Les tests prennent généralement la forme de mises en situation réelle basées sur les quatre principaux dangers qui menacent les systèmes d’information.
Les risques qui viennent de l’intérieur
Les responsables des attaques internes sur les réseaux d’entreprise sont le plus souvent des personnes au sein même de la société qui ont accès à des informations qui peuvent la mettre en danger. Parfois, les intrusions dans le système ou la destruction de données sont causées par de la négligence de la part des employés.
Les tests de la « boite blanche » et de la « boite grise » sont privilégiés pour vérifier la résistance et la fiabilité des mesures de sécurité préventives contre les risques internes. Le deuxième est basé sur l’hypothèse que le pirate possède une bonne connaissance des spécificités du réseau.
Les risques qui viennent de l’extérieur
Le plus souvent, les pirates informatiques s’introduisent dans le réseau via différents services d’accès, comme les bornes sans fil ou les protocoles (HTTP, SMTP, SQL, etc.). Pendant l’audit de sécurité informatique, le test de la « boite noire » est privilégié.
Il s’agit de procéder à une ou plusieurs simulations d’attaques destinées à s’approprier des données ou des informations, leur destruction ou l’affaiblissement du SI. Les résultats du test permettront de détecter les failles et de mesurer l’ampleur des risques. Dans la majorité des cas, des mises à l’épreuve des démarches d’authentification des personnes ayant accès au réseau sont également programmées.
Les risques sociaux
Cette catégorie de risques implique souvent des personnes travaillant dans l’entreprise. Elles peuvent être amenées à dévoiler des informations sensibles ou confidentielles sans le faire exprès, en se faisant manipuler par des individus malveillants.
Ici, les vérifications s’imposent au niveau des dispositifs de « sécurité sociale » au sein de l’entreprise. L’objectif est de mesurer la vulnérabilité des collaborateurs face à des situations d’intimidation ou de manipulation, et leur connaissance des protocoles de sécurité qu’ils doivent respecter. Les résultats des analyses permettront d’identifier les failles et de prendre les précautions qui s’imposent.
Les risques physiques
Les risques physiques incluent les effractions, les vols et la détérioration des équipements qui composent le réseau informatique de l’entreprise. L’audit de sécurité tiendra ainsi aussi compte des mesures de protection des locaux.
La vérification des systèmes de vidéosurveillance, des contrôles d’accès aux entrées, de la solidité des serrures, de la fermeture des portes et des fenêtres, etc. s’impose donc afin de trouver les faiblesses ou les éventuelles défaillances pouvant faciliter l’intrusion de cambrioleurs.