Cybercriminalité, chiffres et solutions de cybersécurité

Selon une étude de 2020, en France 67% des entreprises ont été victimes de cyber-attaques en 2019 (source Hiscox.fr). Ce chiffre de 67% comptabilise les entreprises qui ont rapporté une attaque, mais beaucoup d'entre elles ne communiquent pas après un piratage. Pire encore certaines entreprises ne savent même pas qu'elles ont été piratées, par manque de moyens financiers ou humains. Ce chiffre de 67% est donc certainement encore plus grand dans la réalité, et l'évaluation du chiffre reflettant la réalité est délicate.

Il est encore plus délicat d'estimer les coûts, directs et indirects, de ces actes de malveillance. Le Clusif vient pourtant d'émettre une alerte pour avertir qu'une très grande majorité d'entreprises n'a pas de plan de secours et qu'en cas d'incident un grand nombre de sociétés ne seraient pas en mesure de récupérer ses données ou de continuer son activité. Ce qui veut dire concrètement que, dans ce cas, elles ne sont pas en mesure de récupérer rapidement leurs données pour continuer normalement leur activité. Il est facile d'imaginer alors les conséquences dramatiques que cela entraîne tant sur le plan financier qu'humain.

En 2015, une étude réalisée par Allianz Corporate & Specialty estime que le coût de la cybercriminalité aurait atteint 400 milliard d'euros, soit l'équivalent du budget total de la France (source AB Consulting).

Pourtant, il est véritablement possible de réduire significativement ces risques en menant une politique de sécurité efficace, pour un coût raisonnable. Le premier réflexe à avoir est de se poser la question de l'état des lieux : "Qu'en est-il de mon Système d'Information ? Les moyens nécessaires à sa protection et son intégrité ont-ils été mis en oeuvre ?"

Pour répondre à ces questions, il est nécessaire de commencer par prendre une photographie à un instant T du périmètre à évaluer. Cette "photographie" est un Audit. Il existe plusieurs catégories d'audits et plusieurs méthodes pouvant être mises en oeuvre dans une entreprise :

• Audit intrusif
• Audit de vulnérabilités
• Audit de code
• Audit organisationnel
• Audit de réseau interne
• Audit du point d'accès à Internet

Audit "intrusif"

Cet audit de sécurité a pour objectif de valider le niveau d'imperméabilité à d'éventuelles intrusion de votre réseau d'entreprise.
Il peut être mené depuis l'extérieur de l'entreprise pour voir si il est possible de contourner les sécurités existantes pour pénétrer le réseau.
Il est aussi possible de mener cet audit depuis un point donné de votre réseau pour voir si il est possible d'accéder à d'autres parties du réseau interne.

L'audit Intrusif est effectué de la manière suivante :

• Le Client ne met rien à la disposition de l'équipe de SecuriteInfo.com
• L'audit est réalisé en dehors de l'entreprise ou à partir d'un point déterminé du réseau
• L'équipe de SecuriteInfo.com tente de pénétrer le Système d'information du Client.
• L'équipe de SecuriteInfo.com laisse des traces de son passage (fichiers textes) prouvant qu'il y a eu entrée dans le Système d'Information du Client.
• Un compte rendu est rédigé par SecuriteInfo.com montrant les forces et les faiblesses du Système d'Information.
• Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser son système d'information.
• Une réunion post-audit a lieu par téléphone ou directement dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

Audit de "vulnérabilités"

L'audit de vulnérabilité a comme son nom l'indique pour objectif d'identifier les vulnérabilités présentes dans un système.
Il s'agit généralement d'identifier les failles ou faiblesses existantes sur votre réseau au niveau des :

• systèmes d'exploitation,
• logiciels,
• configurations des stations de travail ou serveurs,
• etc.

Audit "de Code"

L'audit de code permet de valider la sécurité d'un programme.
Concrètement cela permet de valider la sécurité de tout programme écrit en HTML, PHP, ASP, Perl, Java, Javascript, C, C++, etc.

L'Audit de Code est réalisé de la manière suivante :

• Le client met à la disposition de l'équipe de SecuriteInfo.com les sources du site internet ou de l'application à tester.
• L'équipe de SecuriteInfo.com teste et valide les codes fournis.
• Un compte rendu est rédigé par SecuriteInfo.com montrant les forces et les faiblesses des codes testés.
• Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser les codes audités.
• Une réunion post-audit a lieu par téléphone ou directement dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

Audit "Organisationnel"

L'audit organisationnel prend en compte la sécurité en général dans l'entreprise.
Tout en respectant les contraintes de budget et de structure, il permet d'apprécier les éléments suivants :

• Appréciation générale de la sécurité
• Appréciation de la sécurité physique
• Appréciation de la sécurité organisationnelle
• Appréciation des études et réalisations
• Appréciation de la production
• Appréciation de l'exploitation
• Appréciation logique et télécoms
• Un compte rendu détaillé est rédigé par SecuriteInfo.com pour mettre en évidence les forces et les faiblesses de chaque catégorie appréciée
• Une série de préconisations hiérarchisées est établie

L'audit de réseau interne

Cet audit de cybersécurité permet de valider la sécurité à l'intérieur du réseau d'entreprise. En effet, selon les statistiques, 80% des méfaits informatiques sont d'origine interne à l'entreprise. Securiteinfo.com va rechercher toutes données sensibles accessibles via le réseau afin d'en informer le Client.

Cet audit de réseau interne est effectué de la manière suivante :

• Le Client met à la disposition une connexion sur son réseau.
• Le Client ne fournit aucune autre information, ni même aucun compte ou profil réseau.
• L'équipe de SecuriteInfo.com connecte une de ses machines sur le réseau et met tout en oeuvre pour tester le réseau et accéder à des informations sensibles.
• Un compte rendu est rédigé par SecuriteInfo.com permettant de dévoiler les informations recueillies mais aussi la méthode qui a été utilisée pour accéder à ces informations.
• Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser son Système d'Information.
• Une réunion post-audit a lieu par téléphone ou directement dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

L'audit du point d'accès à Internet

Cet audit permet de vérifier qu'il n'est pas possible de récupérer des informations, ou de s'introduire via votre point d'accès à Internet.
Pour plus d'information veuillez lire notre article Pourquoi faut-il faire un audit de son point d'accès Internet ?.

Les méthodes d'audits : "Boite Blanche", "Boite noire", "Boite grise"

Bien souvent, quand il faut effectuer un audit, nous ne connaissons pas à l'avance les technologies utilisées, les architectures logicielles et matérielles. Il y a donc 3 méthodes pour prendre connaissance de l'environnement technique nécessaire à la bonne réalisation de l'audit.

La méthode "Boite blanche"

Est appelé « boite blanche », tout audit de sécurité dont les informations sont fournies par le client. Il permet de réaliser d'une manière totalement transparente, une vue complète de la cybersécurité en place sur les plans techniques et organisationnels.
Le fait que le client fournisse toutes les informations demandées par l'auditeur permet de gagner du temps quand à la réalisation de l'audit. En effet, les tests sont réalisés ciblant les technologies utilisées, et il n'y a pas de tests de découverte du périmètre. Chez SecuriteInfo.com les audits sont facturés au forfait en fonction du temps estimé nécessaire à la réalisation de l'audit. En clair, une méthode "Boite blanche" permet de réaliser un audit plus rapide, donc moins cher.
Cette méthode est systématiquement utilisée lors de l'audit organisationnel.

Procédure utilisée :

• Le Client fournit à notre équipe tous les documents relatif au périmètre de l'audit (pages sources d'un site web, plan d'architecture, documents organisationnels...)
• L'équipe audite, étudie, teste et vérifie la cible.
• Un compte rendu est rédigé par SecuriteInfo.com soulignant les éventuelles faiblesses de la cible.
• Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser son Système d'Information.
• Une réunion post-audit a lieu par téléphone ou directement dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

La méthode "Boite noire"

A l'inverse de la méthode boite blanche, la méthode boite noire est un audit de sécurité qui se fait à l'aveugle. Le client ne donne aucune d'information concernant son système d'information. C'est à l'auditeur de tout découvrir : les points d'accès, les technologies, l'architecture, les points sensibles en terme de confidentialité, les protections mises en place, etc...
C'est donc une méthode d'audit plus onéreuse que la boite blanche car il y a une perte de temps à tout découvrir.
L'avantage d'une telle méthode permet de se placer dans la peau d'un hacker réel, qui ne connait rien de votre organisation et qui tente de vous pirater. Vous voyez donc les données publiques, les points d'accès, bref tout ce qu'un hacker extérieur à votre entreprise peut attaquer.
Cette méthode est très souvent utilisée lors d'un audit de réseau interne, ou d'un audit de site web.

La méthode "Boite grise"

Vous l'avez certainement déjà compris si vous avez lu les deux derniers paragraphes : la méthode boite grise est celle dont le Client ne fournit qu'une partie de ses informations. C'est donc un compromis entre les informations confidentielle à ne pas dévoiler avant l'audit, et la rapidité d'exécution de l'audit donc une réduction de la facture.

Micro audit de cybersécurité gratuit

Vous pouvez vérifier gratuitement la cybersécurité d'une IP et d'un nom de domaine avec notre service de Micro audit de cybersécurité.
Bien entendu cela ne remplace en rien un audit sur mesure et à la main réalisé par nos spécialistes en cybersécurité, mais cela vous permet de savoir si vous avez besoin, ou non de réaliser un audit de cybersécurité.

Nous contacter pour en savoir plus

N'hésitez pas à contacter nos experts pour toute information complémentaire, étude et chiffrage gratuit d'une prestation d'audit.

Tags

MÉTHODOLOGIE D'AUDIT CYBERSÉCURITÉ

Inscription à notre lettre d'information

Inscrivez-vous à notre lettre d'information pour vous tenir au courant de nos actualités et de nos dernières trouvailles.

SecuriteInfo.com est une entreprise française de cybersécurité. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités. Notre périmètre d'intervention couvre l'intégralité de votre système d'information : Sécurité périmétrique, réseaux, accès distants, VPN, solutions anti-spam et anti-malwares, différents audits réseaux et systèmes, vérification de la politique de sécurité, hébergement sécurisé ...