Les tests d'intrusion : ça existe encore ?

Il y a 10 jours j'ai assisté à une présentation réalisée par quelqu'un du "petit monde de la sécurité" qui traitait d'une analogie entre une bataille napoléonienne (perdue par la France...) et une intrusion réussie.
J'ai été très surpris de constater que cette présentation, je l'avais déjà vu il y au moins deux ans ...
J'avais cru comprendre que ça bougeait dans le monde de la SSI ?
Plus la présentation avançait et plus je me retrouvais dans les tests d'intrusions que je réalisais il y plus de 5 ans - Waou ! je ne suis pas si has been finalement ! Bref, on aurait presque cru assister à un cours d'histoire sur le Hacking Vintage.

Plus sérieusement, cet épisode m'a fait réaliser qu'en ce moment tout le monde parle de normes, de référentiels, de conformité, d'organisation, ... C'est très positif car ça témoigne d'une meilleure maturité  et d'une prise en compte de la problématique.
Il ne faut pourtant pas oublier les fondamentaux : rien ne vaut un bon test d'intrusion pour éprouver son système et sensibiliser sa hiérarchie !
Ce test doit être réalisé par des experts au moins deux fois par an pour pouvoir conduire à des actions concrètes : cette démarche est empirique et très dépendante des connaissances et des compétences du moment, donc ne pas hésiter à multiplier les tentatives.
Ces tests sont aussi une bonne entrée en matière avant de réaliser des audits internes : Rien ne sert d'auditer le réseau interne si les fenêtres sont grandes ouvertes.
Enfin, faites confiance à des sociétés qui ont pignon sur rue et respectent une charte éthique. On vient de me raconter la mésaventure d'un client qui a souscrit un test d'intrusion avec une petite société parisienne, il s'est très vite rendu compte que celle-ci avait sous-traité le test en israel : no comment.

Nicolas Jacquey
Hervé Troalic

Edit from the Orange Business team: Hervé left the Orange Group since he wrote his last posts.