Cybermenaces : et si la meilleure défense était l'attaque ? – IT / Digital > Familles d'achats – Decision-achats.fr – Decision-achats

Créer votre compte gratuitement et accéder à tous les contenus de Décision Achats !
En version numérique
Ne rien manquer de vos actualités préférées
En version numérique
Ne rien manquer de vos actualités préférées
En version numérique
Ne rien manquer de vos actualités préférées
En version numérique
Ne rien manquer de vos actualités préférées
En version numérique
Ne rien manquer de vos actualités préférées
Vous avez déjà un compte
Vous n’avez pas encore de compte
Prenez 1 minute pour vous inscrire et boostez votre activité en rejoignant la communauté Decision-achats.fr !
Abonnez-vous pour recevoir nos meilleurs articles
 
Partagez cet article par email
 
Votre message a bien été envoyé!
Pub
Familles d’achatsIT / Digital

Le seul pentest (ou test d’intrusion) ne suffit plus. Au fil des ateliers et tables rondes, cette phrase résonnait comme un leitmotiv lors des Assises de la cybersécurité qui se sont déroulées il y a quelques jours à Monaco. Acheter des prestations visant à mettre en péril volontairement l’organisation est une pratique toujours plus fréquente, à l’image du Crédit Mutuel Arkéa qui s’est tourné vers le spécialiste NBS Systems.
« Les tests d’intrusion classiques montrent leurs limites », confirme Jacques Bodilis, responsable de département risques IT et sécurité au sein de la banque. « Si des vulnérabilités sont détectées, le processus en place fait en sorte qu’on ne va pas forcément élargir le périmètre des recherches pour vérifier le degré d’étendue du problème. Par ailleurs, les dispositifs de ce type sont assez éloignés de la réalité des métiers ; il y a souvent un manque de contexte pour les auditeurs de sécurité. »
Crédit Mutuel Arkéa a ainsi opté pour l’approche de sécurité RedTeam : le principe consiste à faire appel à une équipe indépendante qui endosse le rôle de cyber-attaquant. Celle-ci a pour but de simuler une attaque de la façon la plus réaliste possible, en tenant compte de l’ensemble du processus que suppose une pareille initiative : on enquête sur l’activité de l’organisation ciblée, on détermine la criticité des tâches dans le but d’identifier celles qui sont les plus pertinentes. A titre d’exemple, pour un acteur bancaire, il est intéressant de se focaliser sur les virements.
Pour Donovan Ansi, référent sécurité offensive chez NBS Systems, une telle approche permet « d’obtenir une vision plus représentative du niveau de sécurité, de gérer les vulnérabilités au sens global, d’être plus proactif et réactif par rapport aux évolutions de la menace, et aussi de mieux répondre au besoin d’évaluations du risque. » Sur un plan RH, c’est aussi l’occasion de former les équipes défensives à de vraies attaques éventuelles, et de faire preuve d’attractivité pour fidéliser les talents.
Decathlon fait également partie des entreprises ayant changé de paradigme en matière de politique de sécurité IT. Matthieu Vanoost, security manager au sein du groupe, explique lui aussi que les tests classiques ont fait leur temps : « si on demande à tester une application, la question est : qu’est-ce qu’une application ? Une application implique parfois des API, des hébergements multiples, des implantations dans des pays différents… C’est un périmètre complexe à définir. »
La stratégie de Décathlon consiste désormais à faire régulièrement appel au bug bounty, qui vise à donner une récompense financière à celui qui trouve une faille dans un système de sécurité. « C’est un principe qui apporte plus de richesses et d’enseignements. Il fonctionne avec des conditions très proches du réel lorsqu’une véritable attaque se produit », souligne Matthieu Vanoost.
L’une des difficultés est parfois de valider un contrat de bug bounty en interne au niveau de la direction juridique, car il n’existe pas de garanties contractuelles sur ce qui se passe, ce qui ne se passe pas. « Il faut bien communiquer en interne sur ce qu’est exactement une telle démarche : on choisit bien sûr uniquement des acteurs fiables, il n’y a jamais aucun risque pour l’entreprise au bout du compte », poursuit-il.
Plusieurs points sont importants et souvent trop négligés dans ce type de projet : il importe de trier correctement les vulnérabilités, de définir notamment leur importance, et de s’assurer qu’elles soient effectivement corrigées. Enfin, l’onboarding doit être soigné, et mieux vaut débuter un bug bounty sur un petit périmètre.
Pub
Nous suivre
Abonnez-vous pour recevoir nos meilleurs articles

Abonnez-vous
Recevez le magazine directement chez vous,
et en version numérique
8.75 € / mois
Nos événements
Quels enjeux à l’heure du Cloud et du […]
Deux journées de conférences & networking
Le RDV network des décideurs achats revient !
Pub
NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles

La rédaction vous recommande
Mieux gérer les audits de licence
Cloud hybride : le meilleur de deux mondes
Quelle sécurité IT pour mon organisation ?
Innovation collaborative : Servier et Corcentric créent Angie
LeHibou lève 6 millions d'euros pour s'imposer en France
L'IA : quels bénéfices pour les achats ?
En version papier
Recevez le magazine directement
chez vous

8.75 € / mois
En version numérique

Ne rien manquer de vos actualités préférées

Suivez-nous:
À propos
Decision-achats.fr et le magazine Décision Achats sont les médias leader en France de l’information B2B et de la communauté professionnelle des acheteurs. Deux outils indispensables pour les pros des achats pour les prestataires de la filière achat.
À propos
Sites du groupe
Services
Fils RSS
Contactez-nous
Abonnement

source

A propos de l'auteur

Backlink pro

Ajouter un commentaire