Pentest : la simulation du pire sans risque

Pentest : la simulation du pire sans risque

Un des moyens pour éviter l’attaque informatique et ses conséquences pourrait être la mise en place d’un pentest.

Un pentest ou un test d’intrusion est une mission de simulation de cyber-attaque réalisée par une société experte en cybersécurité pour tester la vulnérabilité d’un système d’informations.

Cette opération de test d’intrusion est toujours à la demande de la direction de l’entreprise et les collaborateurs ne sont généralement pas informés de la démarche.

L’objectif n’est pas d’endommager les données de la société auditée, mais bien d’identifier les failles techniques et humaines. Longtemps réservé aux grosses entreprises, il existe désormais des offres de prestations abordables pour les PME, notamment pour organiser des campagnes de simulation d’attaques par e-mails de type phishing.

Le testeur va prendre le rôle d’un pirate informatique et tenter de s’introduire dans le système de son client. Lorsqu’il y a plusieurs testeurs cette équipe s’appelle dans le jargon informatique une « Red team ».

Comme pour un cambriolage classique, la « Red team » va essayer de passer par les portes et fenêtres, elle va tenter de passer par les serveurs, les différentes couches du réseau de l’entreprise ainsi qu’envoyer de faux e-mails avec des liens et pièces jointes faussement frauduleuses pour évaluer les réactions des collaborateurs.

Une prestation de ce type peut être étalée dans le temps. Les résultats sont toujours instructifs. Cela permettra un renforcement de la sécurité du matériel et des logiciels. Cela permettra également une prise de conscience encore plus ciblée pour les salariés.

Franck Hissbach pour le Journal du Palais du 12 juillet 2021