À quoi bon investir dans du matériel de sécurité dernier cri si une simple erreur de paramétrage laisse la porte ouverte à la moindre attaque ?” Ces quelques mots suffisent à Roger Bonnet des Claustres, administrateur réseau de la régie publicitaire IP France (250 personnes), pour justifier l’intérêt des tests de sécurité réseau. En effet, quelle que soit la performance du matériel de sécurité utilisé, personne n’est à l’abri d’une erreur de configuration ou d’un imprévu, y compris les entreprises les plus vigilantes : “Nous avons découvert un jour qu’une de nos machines laissait passer, par erreur, le port HTTP ! Cela était simplement dû à un changement de version de logiciel sur la machine. Nous avons immédiatement averti l’éditeur concerné…”, signale Roger Bonnet des Claustres.
Les tests d’intrusion ont le vent en poupe
Proies privilégiées des hackers, les entreprises renommées des secteurs de haute technologie (à plus forte raison celles présentes sur Internet) mettent tout en ?”uvre pour s’assurer de leur niveau de sécurité. Ainsi l’opérateur 9 Telecom, qui dispose d’une équipe dédiée à la sécurité, ne laisse rien au hasard : “Nous vérifions en permanence la sécurité de notre réseau, en suivant un schéma directeur qui définit nos plans d’adressage et de nommage, le type de matériel utilisé, les dates prévues pour leur mise à jour, etc. Dans 6 mois, nous ferons réaliser par un prestataire un audit complet qui donnera lieu à une politique de sécurité détaillée”, explique Arnaud Bertrand, responsable de la sécurité réseau chez 9 Telecom.
La société de Bourse en ligne I-Bourse (15 personnes) a déjà eu droit à un audit complet sur site, commandité par le conseil des marchés financiers. Prévu une fois par an, un tel audit a pour but de vérifier l’adéquation entre la stratégie de sécurité de l’entreprise et la réalité constatée. “Et de manière générale, il vaut mieux refaire un audit à chaque changement d’architecture”, conseille Stéphane Delplanque, chef de projet chez I-Bourse. Ce type de prestation n’est toutefois pas à la portée de n’importe quelle PME, puisqu’une journée de conseil coûte environ 10 000 francs ht (1 525 ?).
Outre l’aspect technique de la sécurité, un audit complet revoit théoriquement toute l’organisation de l’entreprise. “Un audit aussi poussé ne sert à rien, conteste Roger Bonnet des Claustres. Un hacker n’ira pas chercher aussi loin. Il exploitera la première faille technique qu’il repérera.” Beaucoup d’entreprises partagent cet avis, à en croire la hausse des demandes de prestations en tests d’intrusion, qui supplantent aujourd’hui les demandes de conseil et d’audit. I-Bourse a opté pour des tests d’intrusion en ligne, effectués par une société spécialisée. “Ces tests permettent de conna”tre précisément ce qui est visible de l’extérieur. Le prestataire agit en fait comme un hacker : il ne conna”t que notre adresse URL et doit remonter le réseau le plus loin possible à partir de là”, détaille Stéphane Delplanque. D’autres types d’intrusion peuvent être pratiqués, suivant des scénarios déterminés (intrusion par une personne de l’entreprise, recherche d’informations particulières, etc. ). IP France fait également appel à un prestataire qui effectue des tests d’intrusion tous les 6 mois, sur site ou en ligne. “Nous lui signons alors une décharge de responsabilité, au cas où l’intrusion ferait des dégâts ! Systématiquement, nous sauvegardons les machines juste avant et, s’il s’agit de tests en ligne, nous prévenons notre fournisseur d’accès Internet”, précise l’administrateur. Parce qu’ils forcent le réseau, les tests d’intrusion peuvent être dommageables pour l’entreprise. D’où l’intérêt des seuls tests de vulnérabilité, qui ne font que détecter les failles du système.
9 Telecom balaie quotidiennement son réseau à l’aide de scanners (pour repérer les ports ouverts) et autres sniffers, qui analysent les trames et les paquets en transit : “Ces outils peuvent être téléchargés gratuitement sur des sites de hackers, signale Arnaud Bertrand. Nous comptons bientôt utiliser un scanner d’e-mails, une sonde active qui permet de reconfigurer automatiquement le matériel défaillant, et une machine de trace pour mieux analyser les informations collectées.” En effet, les tests sont inutiles s’ils ne sont pas suivis d’une analyse des résultats. Les détections d’intrusions réelles constituent aussi une mine d’informations précieuses pour connaître les types d’attaques employés et les points d’entrée les plus fréquemment empruntés.
Une veille active et quelques règles de bon sens
Si les audits complets s’adressent essentiellement aux grands comptes, toutes les entreprises peuvent trouver facilement des outils de détection de vulnérabilité. Le plus dur est d’avoir les compétences pour se servir de ces produits, livrés ” bruts de fonderie “…
De même, une veille active en matière de sécurité et quelques règles de bon sens sont accessibles à tous. “Il suffit par exemple de s’abonner à des mailing-lists comme celle proposée sur le site du Cert [Computer Emergency Response Team, Ndlr] pour se tenir informé sur les nouveaux virus ou les dernières failles de sécurité. Pour un maximum de prévention, il faut aussi penser à sensibiliser les utilisateurs, leur expliquer comment choisir un mot de passe (en y intégrant des caractères spéciaux, par exemple) ou leur dire de se méfier des exécutables qu’ils reçoivent. Pour qu’ils en prennent conscience, nous leur faisons parfois quelques petites démonstrations de piratage…”, conclut Arnaud Bertrand de 9 Telecom.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
