Comment bien choisir son prestataire de tests d’intrusion et audits de sécurité ?

5 questions à poser à votre fournisseur de tests d’intrusion

Si vous gérez un système d’information (et il y a de fortes chances que ce soit le cas !), les informations que votre entreprise gère sont à la portée des cybercriminels.

Pour cette raison, il est tout à fait normal que votre réseau informatique soit évalué afin de vérifier qu’il est bien étanche à ce type de menaces. Parce que le test d’intrusion informatique est au minimum un événement annuel et parce qu'il implique une ressource humaine, vous voulez avoir l’assurance que le fournisseur que vous recrutez est à la hauteur de la tâche.

La sélection du fournisseur de test d’intrusion consiste à poser les bonnes questions pour examiner correctement les outils, les méthodes et les experts qu'ils emploient pour ce type de mission.


1. Comment le test d’intrusion diffère-t-il des autres types de tests de sécurité - comme des scans de vulnérabilité ?

Bien que vous sachiez déjà la réponse à cette question, il faudrait toujours faire en sorte que le fournisseur éventuel puisse articuler les différences qui rendent le test d’intrusion unique. Méfiez-vous de tout fournisseur qui utilise les mots «test d’intrusion» et «scanner» de manière interchangeable, ou prétend que leur processus de test d’intrusion est entièrement automatisé. La valeur d’un test d’intrusion est représentée par la valeur du consultant le réalisant, ainsi que la méthodologie et l’outillage utilisés.


2. Quelle méthodologie utilisez-vous pour effectuer le test d’intrusion ?

Les méthodes et les techniques d’évaluation de la sécurité sont variables en fonction du prestataire, mais certaines activités de base sont communes à tous. Même si elles n'utilisent pas une méthodologie définie, le fournisseur devrait pouvoir fournir un aperçu direct des étapes impliquées et des outils utilisés à chaque étape du processus.


3. Vos testeurs détiennent-ils des certifications liées à la sécurité offensive ?

Il est important de savoir que les personnes qui effectuent votre test sont compétentes et restent à jour au niveau des tendances de la sécurité. Tentez de savoir quelles sont les certifications détenues par l'équipe. Il existe une variété de certifications qui démontrent la connaissance de la sécurité de l'information et de la technologie en général, mais les auditeurs possèdent souvent des certifications telles que celles du SANS (GIAC, etc.) ou de l’OSSTMM. Portez une attention particulière aux certifications basées sur les compétences (avec évaluation pratique en plus de l’évaluation théorique) telles que l'OSCP ou l’OSCE (Offensive-security), qui deviennent très prisées dans la communauté de la sécurité de l'information.


4. Comment protégerez-vous mes données pendant et après les tests ?

Tentez d’identifier comment le prestataire sécurise vos données pendant le test et tout au long de la livraison. Si vous êtes en mesure de vérifier les postes de travail des auditeurs, vérifiez que le chiffrement intégral du disque est activé, ainsi qu’un durcissement de la configuration système. Lorsqu’il est temps de livrer le rapport final, votre auditeur devrait également offrir une méthode sécurisée pour sa livraison. Les données confidentielles, y compris les rapports de test et traces, ne doivent jamais être envoyées par courrier électronique en clair. Des FTP sécurisés ou des sites sécurisés de partage de fichiers utilisant SSL peuvent être utilisés, ou encore un envoi de mail avec des pièces jointes chiffrées de manière sécurisée.


5. Comment assurerez-vous la disponibilité de mes systèmes et services pendant les tests ?

Étant donné que les tests d’intrusion sont des attaques réelles contre vos systèmes, il est impossible de garantir la disponibilité de vos services tout au long du test. Cependant, la plupart des testeurs sont en mesure de savoir si une attaque particulière réduira votre système ou "cassera" un service. Vous pouvez également aider votre auditeur en l’alertant sur tout système impactant ou moins robuste sur votre réseau, notamment les équipements industriels qui sont connus pour être extrêmement sensibles aux attaques réseau par exemple. Le prestataire idéal travaillera en étroite collaboration avec vous pour répondre aux préoccupations opérationnelles et surveiller les tests et l’état du système d’information audité tout au long du processus.







Besoin d'aide ?


N'hésitez pas à essayer notre wizard, ci-dessous, et à visiter nos pages: tests d’intrusion et audits de sécurité. Vous pouvez aussi nous contacter directement au +33 (0)3 66 72 95 95 pour plus d'information.

Quelle prestation choisir pour votre organisation ?

Nos experts ont créé spécialement pour vous un questionnaire sur-mesure afin de déterminer au mieux la prestation adaptée à vos besoins.


En savoir plus sur nos prestations :


60x60
Tests d'intrusion

En savoir plus


130x90
Audits de sécurité

En savoir plus


130x90
Service d'évaluation des vulnérabilités par Qualys

En savoir plus

Partager cela:

Posté le Wednesday 04 October 2017 par

Retourner au blog

Envoyez-nous vos commentaires


Votre commentaire ne sera pas publié. Si vous avez une question, n'oubliez pas d'écrire votre adresse email afin que l'on puisse vous répondre.