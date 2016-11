Vous dirigez une entreprise ou êtes en charge de sa sécurité et vous craignez, à juste titre, la cybercriminalité. Face à cette menace difficile à cerner, vous vous questionnez sur la meilleure méthode à mettre en œuvre. Et si, pour une fois, vous preniez le rôle du pirate?

L’idée, loin d’être saugrenue, est une technique souvent utilisée: elle permet de tester ses failles informatiques du point de vue d’un potentiel attaquant, avant qu’elles ne soient réellement exploitées par des personnes malintentionnées. Un changement radical de perspective et de logique.

Deux approches sont possibles. En premier lieu, les scans de vulnérabilités. Souvent automatisées, ces détections systématiques passent en revue tous les systèmes et applications de votre entreprise exposés sur Internet (sites publics, applications d’e-commerce, etc.) afin de détecter leurs faiblesses, puis de les corriger au plus vite.

Jouer au criminel

L’autre option, qui va beaucoup plus loin, ce sont les tests de pénétration ou «pen tests», souvent réalisés par des sociétés spécialisées. Ici, il s’agit d’utiliser une ou plusieurs vulnérabilités existantes – une erreur de codage sur votre site par exemple – ou de détourner la logique de fonctionnement de l’application pour voir jusqu’où un pirate pourra vous causer du tort: ralentissement de vos outils, vol de données sensibles, rétention ou destruction de données clés…

Parfois, les criminels en ligne n’ont pas un objectif précis: ils se contentent d’exploiter une faiblesse, comme un voleur pourrait entrer dans une maison à partir d’une porte restée ouverte. A ce titre, le «pen test» s’apparente à une simulation d’incendie ou de vol. Un exercice parfois long et prenant, mais qui vaut la peine d’être considéré, notamment pour les entreprises riches en données ou très exposées sur le Net. (24 heures)