La cybersécurité est aujourd’hui un enjeu majeur pour les PME tant les dommages peuvent être importants, voire conduire à la faillite. De nombreuses PME, soucieuses d’améliorer leur posture cybersécurité, désirent faire tester leur système. Elle peuvent alors s’orienter vers différents services, dont les «pentests» (ou tests de pénétration) ou la réalisation de «scans de vulnérabilités». Retour par un expert du label Cyber-Safe sur ces deux pratiques distinctes mais complémentaires et leur place dans une cyberstratégie.

L’analogie avec le cambriolage

Pour comprendre la différence entre un «pentest» et un «scan de vulnérabilités», l’analogie est utile. Imaginez votre entreprise comme une maison. Vous désirez évidemment savoir si votre maison est bien protégée contre les cambrioleurs. Le scan de vulnérabilités et le pen- test sont deux techniques différentes permettant d’évaluer la sécurité de votre entreprise et de ses données. Un scan de vulnérabilités revient à faire le tour de votre maison pour vérifier si les portes et fenêtres sont bien fermées et voir si les accès souterrains sont verouillés. En informatique, il s’agit d’un processus largement automatisé où les failles connues sont identifiées, tels que des logiciels non mis à jour, des ports ouverts inutilement ou l’usage de mots de passe par défaut.

LE SCAN DE VULNÉRABILITÉs POUR VÉRIFIER QUE LEs PORTES sont BIEN FERMÉES, puis le pentest pour tester lA SOLIDITÉ DE VOS SERRURES ET PORTES.

Dans le cas d’un «pentest», il s’agit plutôt d’engager un «gentil cambrioleur» professionnel qui va réellement essayer de s’introduire dans votre maison en essayant de crocheter les serrures, de tromper les habitants pour qu’ils ouvrent ou de forcer les fenêtres.

Le pentest fait appel à des experts, ou pentesters, qui tentent sur plusieurs jours de pirater vos systèmes. Son coût est donc plus important. Ainsi pour tirer pleinement profit d’un pentest, mieux vaut s’assurer en amont que les portes soient bien fermées, faute de quoi, le travail du gentil cambrioleur ne vous amènera pas grand-chose – si la porte est ouverte, le cambrioleur n’essaiera évidemment pas de crocheter la serrure!

Connaître ses propres risques

Cette différence étant posée, il s’agit maintenant de faire un pas en arrière pour se poser la question de base, celle de l’analyse du risque à même d’informer votre décision.

En effet, avant de choisir entre scan de vulnérabitliés ou pentest, il faut comprendre vos risques réels et donc réaliser une analyse de risque. Qu’avez-vous à protéger et quels sont les impacts potentiels d’une cyberattaque?

La cyberstratégie doit être proportionnelle à vos risques. Inutile de déployer les mesures de protection d’une banque si vous êtes un petit commerce. Inversement, ne sous-estimez pas les risques si vous gérez des secrets de production ou avez en votre possession de nombreuses données personnelles. Si votre activité est entièrement dépendante d’un service en ligne ou d’une application mobile, alors les deux solutions sont pertinentes: d’abord le scan de vulnérabilités pour vérifier que les portes soient bien fermées, puis le pentest pour vérifier la solidité de vos serrures et portes.

Procéder étape par étape

L’analyse de risque est donc incontournable en vue d’une prise de décision. Et c’est précisément la première étape du label Cyber-Safe qui réalise par la suite un scan de vulnérabilités interne (dans vos locaux) et externe.

Cette première étape dresse votre état des lieux et vous permettra d’évaluer la pertinence d’un pentest pour votre organisation – et de s’assurer que les portes sont bien fermées avant d’engager un pentester!

Christophe Hauert,

Directeur label Cyber-Safe

www.cyber-safe.ch

sgv-usam@cyber-safe.ch