Nous assistons ces dernières années à une multiplication des cyberattaques contre les entreprises. Selon l’ANSSI, leur nombre a quadruplé de 2019 à 2021 ! Les conséquences peuvent être terribles pour les entreprises. Atteinte à la notoriété et l’image de l’entreprise, perte d’exploitation engendrée par la mise à l’arrêt des systèmes informatiques, chantage financier des pirates, préjudice commercial… Les entreprises se dotent donc de systèmes de sécurité très performants qui se révèlent… inopérants. 90% des incidents de sécurité informatique auraient pour origine l’erreur humaine (étude IBM) ! Alors comment faire en sorte de réduire ces risques et d’impliquer tous ses collaborateurs dans la cybersécurité ?
I – La cybersécurité, l’affaire de tous
1 – Deux visions s’opposent
On entend souvent dire qu’en matière de cybersécurité, le problème se trouve “entre la chaise et le clavier”. Le nombre important d’incidents de sécurité informatique liés à une erreur humaine semble confirmer cette déclaration. Mais est-ce vraiment le cas ? Ne faudrait-il pas changer de perspective ?
Et considérer les collaborateurs comme un moyen de protection qui n’est pas encore assez exploité ? Plutôt qu’un problème ?
Dans les entreprises, il y a souvent deux visions qui s’opposent.
D’un côté, les experts en sécurité informatique. Ils reprochent aux utilisateurs de ne pas respecter les principes de base de la sécurité et se sentent obligés d’augmenter constamment le niveau de sécurité des outils. Et d’un autre côté, les utilisateurs qui pensent que les experts ne prennent pas assez en compte leur réalité opérationnelle.
Ces utilisateurs peuvent se retrouver confrontés à des menaces dont ils ne soupçonnent même pas l’existence… Ce qui va rendre ainsi le système d’information vulnérable sans qu’ils en soient conscients…
Ces deux visions s’affrontent souvent et pourtant les deux camps veulent la même chose : une entreprise protégée.
2 – Changer de perspective
Il est donc important de mettre fin à ce décalage entre ces deux visions. La cybersécurité, c’est l’affaire de tous : de la Direction du Système d’Information, à la direction en passant par les collaborateurs.
On ne peut plus mettre de côté ces derniers dans la construction de la politique de sécurité de l’entreprise. Ils doivent faire partie intégrante de la sécurité et être considérés plutôt comme un nouveau levier d’amélioration plutôt qu’un frein inévitable !
Cela demande un véritable changement de perspective : ne plus considérer l’humain comme le maillon faible de sa chaîne de sécurité mais vouloir le transformer en maillon fort.
Car on le sait, la vigilance et la capacité d’action des équipes sont essentielles pour maintenir la sécurité toute entière de l’organisation !
L’une des clés qui vous permettra de changer de perspective est la mise en place de la démarche de certification ISO 27001. Chez Feel Agile, nous vous proposons de vous accompagner dans cette démarche et de vous aider à mettre en place des actions qui réconcilieront les deux visions de vos équipes pour avancer vers le même objectif : la sécurisation de votre entreprise.
3 – Les collaborateurs doivent se sentir responsables aussi de la sécurité
Qu’on le veuille ou non, chaque collaborateur est un maillon de la chaîne de sécurité. Chaque personne est donc un acteur essentiel de la politique de cybersécurité de l’entreprise. C’est à ce niveau que la prise de conscience doit s’opérer.
Les collaborateurs ne doivent pas se sentir sous pression de suivre telle ou telle règle de sécurité (souvent vues comme des contraintes) sans qu’ils en comprennent le sens. La DSI ne doit pas chercher à “faire peur” et à “contraindre” les utilisateurs mais plutôt à les impliquer davantage pour les responsabiliser. En considérant l’utilisateur comme un composant essentiel de la performance de la chaîne de sécurité, le message sera beaucoup plus adapté et pris en compte par les équipes.
Chez Feel Agile, nous oeuvrons dans ce sens en proposant une solution aux entreprises pour responsabiliser leurs collaborateurs : notre outil SMSI. Grâce à l’automatisation de votre système de management en SAAS, vous pourrez faire participer toute l’entreprise à la démarche de certification. Feedbacks, rappels, suivi en temps réel, documentation,… : tout est fait pour organiser votre démarche et faciliter votre certification.
Retrouvez tous nos webinaires à venir en cliquant sur ce lien!
II – Créer une prise de conscience par la sensibilisation à la cybersécurité
Quand on entend sensibilisation à la sécurité, on a tous en tête la charte informatique et une séance de formation donnée par des experts de la sécurité, mais il faut amener la réflexion et l’action à un autre niveau. Pour changer la perspective des équipes et leurs rôles plus qu’important au sein de la chaîne de sécurité de l’entreprise, il est nécessaire de créer une véritable prise de conscience au sein de l’entreprise.
1 – Donner du sens aux mesures de sécurité
Ainsi pour toute action de communication, formation, sensibilisation, il ne suffit pas de délivrer simplement des indications ou des consignes. Il est indispensable de leur donner du sens. Pourquoi cette consigne est-elle nécessaire ? Qu’est-ce que ça pourrait engendrer si elle n’était pas suivie ? Quels en sont les risques inhérents ? Quel exemple peut-on donner pour faire prendre conscience des répercussions ?
C’est en comprenant les enjeux et les risques encourus que vos équipes seront plus intéressées par le sujet de la sécurité. Ils appliqueront avec beaucoup plus de conviction ces mesures quand ils comprendront concrètement leur rôle à jouer dans la stratégie de cyberdéfense de leur entreprise.
2 – Apprendre en continu
Pour que toutes les équipes puissent jouer leur rôle de “gardien” dans la sécurité de l’organisation, il est indispensable de les former régulièrement. En les initiant aux bonnes pratiques à adopter, les collaborateurs pourront analyser la situation rapidement et avoir les bons réflexes pour réagir.
Il ne s’agit pas seulement de les former une fois (notamment à chaque nouvelle arrivée dans la structure) mais plutôt d’établir une stratégie de sensibilisation dans le temps. Les équipes retiendront beaucoup plus facilement les informations délivrées petit à petit et de façon répétées qu’une grande journée de formation qui ne sera pas suivie d’autres actions par la suite.
Le format de e-learning est ainsi une solution intéressante en terme d’interactivité et de rythme de sensibilisation.
Pour que la formation soit un véritable levier de sécurité de votre entreprise, Feel Agile propose un abonnement à des formations à distance et des événements réguliers en fonction des besoins de vos collaborateurs et de leur niveau de maturité sur les enjeux de sécurité. Nous proposons par exemple un e-learning sur la certification ISO 27001 pour former à la partie organisationnelle, les processus et les procédures, ou encore une solution de formation des développeurs à la sécurité OWASP.
Une autre piste à creuser pour sensibiliser les équipes à la cybersécurité, c’est d’allier la pratique à la théorie. Pourquoi ne pas réaliser des simulations pour mettre les collaborateurs en condition réelles et les entrainer à réagir de la bonne manière ? Ils pourront ainsi mettre en pratique ce qu’ils ont appris pendant les sessions de formation et acquérir de véritables automatismes : quoi faire, qui prévenir, quel process appliquer ?
Les tests réguliers (test d’intrustion, phishing,…) ou tests de connaissances sont également un bon moyen d’améliorer l’intégration des automatismes, des réflexes à adopter en cas de cyberattaque. Cela permettra également d’évaluerles connaissances de vos équipes et de les entretenir dans le temps.
C’est pourquoi lors de nos accompagnements, nous proposons de réaliser des sessions de sensibilisation à distance ou sur site avec des expériences ludiques. Cette approche « gamifiée » de la cybersécurité permet aux équipes de s’impliquer, de se tester et d’intégrer des automatismes pour trouver une solution ensemble en cas de cyberattaque.
La chaine YouTube de la certification CYBER :La Chaine Feel Agile pour vous former gratuitement
III – Mettre en place une communication interne
Nous l’avons vu, pour contribuer à la responsabilisation des collaborateurs à la sécurité de leur entreprise, il est important de communiquer. D’une part pour les faire changer de perspective et leur faire prendre conscience de leur rôle essentiel dans la chaîne de sécurité. D’autre part, pour qu’ils soient à même de détecter les comportements suspects ou adopter une grande prudence dans les informations qu’ils délivrent.
1 – S’adapter aux différents interlocuteurs
Un des enjeux pour une bonne communication, c’est de s’adresser à la bonne cible. Chaque personne ne va pas forcément être réceptif au même type de message. Ainsi, quand on va sensibiliser à la cybersécurité, il est essentiel d’adapter son message et le niveau d’expertise à son interlocuteur. Si les communications sont beaucoup trop complexes, les collaborateurs ne se sentiront absolument pas concernés et délaisseront ces enjeux. Au contraire, si les communications sont pédagogiques, accessibles à tous, il sera plus facile de les prendre en compte. Il est également possible de satisfaire leur curiosité et les inciter à aller plus loin avec la mise à disposition de ressources complémentaires.
2 – Communiquer dans les deux sens
La communication ne va pas que dans un sens. Délivrer des informations sans vraiment se pencher sur ce qu’en pensent les équipes est une erreur que vous pouvez aisément rectifier.
On demande souvent aux collaborateurs d’écouter des conseils ou des consignes mais l’inverse est rarement vrai. Alors que les équipes ont souvent beaucoup à dire. Des anecdotes sur leur expérience personnelle, des questions qu’ils se posent, des pistes d’amélioration qui pourraient être prises en compte… C’est en les écoutant et comprenant comment ils fonctionnent au quotidien que la DSI pourra mieux cibler ses communications et ses formations. Elle pourra adapter son message en fonction des pratiques concrètes des collaborateurs.
3 – Cultiver une culture de la sécurité dans l’entreprise
En adoptant une communication qui soit adaptée à l’interlocuteur, pédagogique et surtout positive (on arrête les messages anxiogènes et culpabilisants), vous allez créer une véritable dynamique au sein de l’entreprise pour constituer une culture de la sécurité.
Portée par la direction, cette culture de la sécurité renforcera le dispositif prévu par la DSI pour contrer les cybermenaces. Les collaborateurs, autonomes et actifs, qui auront accéder à un degré de maturité numérique élevé, deviendront ainsi un élément décisif du système de défense de leur organisation !
IV – Notre solution CyberAgile
Ainsi la réponse aux cybermenaces ne peut pas être uniquement technologique. Nous le voyons bien, lorsque l’on parle de cybersécurité, il est plus que nécessaire de prendre en compte le « facteur humain ». Nous approfondissons d’ailleurs cette notion dans cet autre article. En permettant aux collaborateurs, aux utilisateurs finaux de faire partie de la solution et non plus du problème, l’entreprise va bâtir une culture de la sécurité essentielle pour se prémunir des attaques.
Chez Feel Agile, nous sommes convaincus de l’importance d’une politique de sensibilisation ciblée, maitrisée et planifiée. C’est pourquoi nous avons choisi d’accorder une grande place dans nos accompagnements à la sensibilisation des vos équipes avec la mise au point d’une solution globale et complète: CyberAgile.
Cet outil de sensibilisation et de simulation d’attaque est la réponse idéale pour former, impliquer et tester vos collaborateurs.
Vous pourrez ainsi :
– sensibiliser vos équipes sur un large panel de sujets liés à la sécurité de l’information : hameçonnage, RGPD, bonnes pratiques de gestion des mots de passe,…
– évaluer les connaissances de vos collaborateurs
– simuler des attaques pour évaluer la mise en application des mesures de sécurité
– utiliser la bibliothèque de plus de 300 supports liés à la cybersécurité
– organiser et piloter vos campagnes de sensibilisation
Si vous souhaitez en savoir plus sur cette solution, contactez-nous !
J’espère que cet article vous aura apporté quelques idées de solutions.
V – Webinaire sur la sensibilisation des collaborateurs
Très prochainement nous allons réaliser un webinaire sur le thème « Faites de l’humain votre première ligne de cyber défense en cybersécurité ». Pour vous inscrire suivez les liens ci-dessous :
Notre webinar vous serez utile concernant la réussite de votre certification, il aura pour objectif de vous faire comprendre correctement l’audit et le cycle de certification 27001, de vous conseiller au maximum pour vous préparer avant l’audit, éviter les erreurs et vous donner les pistes pour après votre audit.
Qu’est-ce qu’un audit ?
Il est important dans un premier temps de bien comprendre ce qu’est un audit :
Dans ces audits de certification, l’idée de l’auditeur est de vérifier votre SMSI, c’est-à-dire si vos politiques et vos procédures obligatoires sont bien en place.
Cet auditeur va vraiment venir chercher les conformités par rapport à la norme, et non un niveau de sécurité ou même une façon de faire. En fait, ils vont vérifier si vous avez mis en place les bonnes mesures de sécurité pour réduire les risques importants de votre société.
Parmi le travail que vous allez effectuer sur la période d’une année pour la préparation de votre SMSI, l’audit sera tout simplement votre examen final. Ainsi il vous permettra de vérifier vos compétences !
Le cycle de certification
Après avoir déterminé l’audit de certification, passons au cycle de certification. Ce cycle a une durée de 3 ans. Il est divisé en plusieurs parties, c’est-à-dire que chaque année va correspondre à un audit différent.
La première année, l’audit «initial». Elle se découpe en deux étapes.
La première va être tout simplement la rencontre avec l’auditeur. Le but de cet audit sera de vérifier la conformité de la documentation en fonction de ses critères.
Si tout se passe bien, vous aurez le feu vert pour continuer l’audit. Ainsi, lors de la deuxième étape votre SMSI aura la capacité de vous proposer un plan d’audit qui vous présentera chaque audit à effectuer, avec tel personne à tel horaire.
Ceci se passe durant 3 à 5 semaine, entre l’audit de l’étape 1 et celui de l’étape 2.
Dans celui de la première étape, l’auditeur vous rendra un rapport avec chaque point à améliorer par la suite, avant d’avoir des écarts durant la deuxième étape. Il est important de les corriger puisque l’auditeur va revenir sur ces sujets afin de vérifier que vous avez mis en place des actions pour améliorer votre SMSI.
Le vrai audit commencera avec la réunion d’ouverture. Cette réunion consiste pour l’auditeur de vous expliquer la démarche d’audit.
Uns fois l’audit passé, l’auditeur va donc émettre un rapport avec tous les constats qu’il a pu identifier lors des jours d’audit, ainsi qu’une recommandation. C’est là que vous allez devoir précisez quelles actions vous allez faire au niveau des différents constats que l’auditeur à identifier.
Ce rapport est ensuite envoyé à la commission des certifications qui va valider les rapports et émettre ou non le certificat !
Ne pas avoir son certificat ?
Nous avons un classement des constats d’audit avec différents niveaux, en commençant par les non-conformités majeures.
Ces conformités sont le non-respect d’une exigence de l’ISO 27001, règlementaire ou contractuelle. Le non-respect d’une exigence remet en cause la capacité du SMSI à atteindre le résultat attendu.
Ensuite, nous avons les points sensibles. Ce sont des sujets qu’il faut traiter afin qu’ils ne deviennent non conformité mineur.
Il est impossible d’avoir le certificat si vous possédez une de ses conformités. Lors d’un audit, l’auditeur l’inscrivera dans les rapports. L’auditeur aura donc un autre audit de planifier environ 3 mois après pour vérifier que les écarts majeurs identifiés sont corrigés. Après avoir fait ce deuxième audit, il reviendra vous donner la certification.
Dans un cycle de certification, vous allez avoir les mêmes audits sur les trois années. Une fois le cycle finalisé, vous recommencez sans refaire la première étape.
Concernant la durée, le premier audit dure entre 3 et 5 jours environ, et les autres eux environs 2 jours.
Se préparer AVANT l’audit ?
La première chose que nous recommandons est de faire un audit blanc. Ces audits sont similaires au vrai audit de certification. Ils permettent de voir une vue d’ensemble et de vous entrainer.
L’idéal est de le faire avec une société extérieure, afin qu’ils puissent vous auditer en vous donnant un rapport complet.
Informer aux autres
Ensuite, il est important d’informer l’ensemble des collaborateurs de l’importance de cet audit pour leur société, et les risques de ne pas obtenir la certification.
Il est aussi important d’informer les dates d’audit, afin que vos collaborateurs respectent les règles que vous avez définies, au niveau de la sécurité.
Visionnez notre vidéo sur You Tube !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
Le cycle de certification et l’obtention de votre certification 27001 ne sont que le début de votre progression en sécurité de l’information. Vous allez pouvoir apprendre à gérer la sécurité de l’information ainsi que votre SMSI sur le long terme, puisque la certification repose entre autres sur l’amélioration continue.
Un audit de suivi ou de surveillance aura lieu annuellement. Ainsi, le même auditeur viendra dans chacune de ces années du cycle.
C’est un excellent moyen pour les auditeurs de découvrir et de vérifier vos activités et de mieux connaître votre entreprise.
Le moment du 1er audit est d’une importance primordiale. Les prochaines seront plus des révisions partielles.
Ils se concentreront principalement sur les incohérences et les sensibilités trouvées lors des audits précédents et doivent donc être vigilants dans le traitement des résultats d’une année à l’autre
Une des erreurs la plus fréquente va être l’absence d’action une fois qu’une entreprise est certifiée. C’est pour cela que cette notion d’amélioration qui est importante.
Lors des audits de surveillance, les écarts et non-conformité repérés lors de l’audit initiale vont être inspectés.
Ainsi, si jamais les non-conformités mineures ne sont pas traitées, elles vont être qualifiées de majeure l’année suivante. Cela risque de bloquer la certification au cours du cycle.
En rappel, l’auditeur lui vous donnera un simple avis favorable ou non lors de la fin de l’audit. C’est une commission qui va ensuite analyser le dossier et l’avis du tuteur, et statuera définitivement sur la certification.
Il faut compter environ un mois avant d’obtenir la certification définitive.
Ainsi, la mise en place du SMSI à une durée d’environ 6 mois/ 1 an en fonction de la société.
2. Interpréter un rapport d’audit
Passons aux écarts. L’audit à une durée variable et va dépendre du nombre du collaborateur qui maintiennent le SMSI.
A l’issu de cet audit, un rapport sera transmis. Il contiendra les écarts majeurs, mineurs, les points sensibles, les pistes de progrès ainsi que les points fort.
Pour décrire ces 5 constats d’audit, les écarts majeurs sont des non-satisfactions d’une exigence du référentiel qui touche à l’organisation, l’application et la normalisation du SMSI. Ceci entrain un risque très important pour le SMSI.
Ensuite, les conformités mineures elles caractérisent la non-satisfaction de l’exigence du référentiel, mais n’entrainent pas de risque important de non-respect. La non-satisfaction d’une exigence ne compromet pas l’efficacité ou l’amélioration du SMSI dans le cadre d’une conformité mineure.
Les points sensibles sont des éléments du SMISI sur lesquels les preuves d’audits montrent que l’organisme est conforme, mais risque de ne plus atteindre les exigences du référentiel à court ou moyen terme.
Les pistes de progrès sont les voyant identifiés sur lesquels l’organisme peut progresser. Cela correspond au terme d’opportunité d’amélioration. Cette piste de progrès donne à l’organisme client la possibilité de soit dépasser les exigences de référentiel d’audit, soit d’améliorer la performance de cet élément du smsi, sans dépasser les exigences du référentiel.
Et les points forts eux sont les éléments du smsi sur lesquels votre organisme dépasse les exigences du référentiel, ou se distingue par une pratique ou méthode performante.
Ainsi, pour obtenir ce certificat, il est indispensable que vous ne possédiez aucune non-conformité majeure.
Si vous en avez, vous allez avoir trois mois pour corriger. Par la suite, un audit sera replanifier pour vérifier les corrections, avant de passer à la certification.
Pareil pour les non-conformités mineures. Il vous faudra les traiter pour l’audit de surveillance qui aura lieu l’année suivante, avant qu’elles ne deviennent des non-conformités majeures.
Pour définir un écart, c’est simplement la différence par rapport aux critères d’audit. Pour les constater, l’auditeur va se baser sur l’observation objective entre les attentes de la norme et ce qui est réalisé dans votre SMSI.
3. Processus d’accompagnement
Venons maintenant au processus d’accompagnement que nous proposons !
Cette formation se fera en 6 étapes durant 1 année environ.
Pour commencer la première sera de définir le contexte. Nous définirons le périmètre, les enjeux et les acteurs extérieurs qui ont des attentes en matière de sécurité sur votre projet.
Cette première étape d’un mois est importante car c’est celle qui va conditionner les étapes suivantes.
Deuxième étape, l’analyse des risques. Nous définirons la liste des risques qui peuvent impacter le SMSI. Elle prendra 1 mois également.
Ensuite troisième étape, la déclaration d’applicabilité. C’est un document que nous allons rédiger, en parcourant la liste des 114 mesures de l’annexe de la norme ISO 27001, afin de déterminer si celle-ci peuvent impacter le SMSI.
On va vérifier pour chaque mesure si elle est applicable ou non au périmètre comme nous aurons identifié lors de la première étape. Ensuite nous mesurons l’écart entre ce qui est fais par l’organisation, et les attentes de la mesure.
Ainsi, nous aurons établie le plan d’action définitif à conduire avant la certification.
En ayant définit un plan d’action, traité les écarts et exigences, nous pouvons commencer la quatrième étape, concernant le suivi de projet. Cette gestion de projet s’agira justement de suivre la mise en œuvre de ces actions, de s’assurer au fur et à mesure du projet qu’elles sont correctement mises en place.
Nous suivrons et assurerons une cohérence entre les actions, la rédaction des documents, et l’évolution des traitements de risque.
Une fois les écarts traités, nous passons à l’étape de la préparation a la certification où nous effectuerons des mises en situations, et verrons comment répondre aux questions d’un auditeur.
L’auditeur s’adaptera à votre entreprise, mais il vous faudra au moins une personne qui maitrise bien le processus, l’audit et la norme.
Enfin pour la dernière étape, elle concerne l’audit blanc qui aura lieu avant votre passage de certification. Il consiste à effectuer une mise en situation et d’identifier les risques peut être mal corrigés.
Nous avons conçu une vidéo sur notre chaine You Tube pour une explication plus détaillé !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
Un pentest ou test d’intrusion consiste à se mettre à la place d’un attaquant malveillant (appelé cyber criminels ou pirates selon leur valeur). Ainsi cela permet de stimuler leur comportement sur un périmètre défini par l’entreprise attaquée.
C’est ce qui va permettre de corriger de potentielles vulnérabilités que ce soit au niveau de l’infrastructure ou des logiciels en interne ou en externe.
On va utiliser les mêmes méthodes et outils qu’un acteur malveillant, afin de compromettre le système cible de l’entreprise et de voir jusqu’où on peut aller dans le système d’information. La seule différence est que nous le faisons dans un cadre légal via un contrat. Celui-ci définir le périmètre et la cible à attaquer, ainsi que les autorisations et restrictions à ne pas faire.
Y a-t-il plusieurs types de pentest ?
Il existe 2 types de pentest : interne et externe, ainsi que 3 méthodes : black box, white box et grey box.
Le pentest Interne consiste à ce que les attaquants soient dans vos locaux, afin de cibler l’infrastructure interne.
On peut donc se mettre à la place d’un salarié malveillant qui souhaiterait se venger.
Ainsi, le pentest externe lui consiste à pentester un site web ou une infrastructure (VPS). Il sera accessible depuis internet et pourra donc être attaqué depuis l’autre bout du monde.
En ce qui concerne les méthodes, elles peuvent s’appliquées à ces deux types de pentest. Les voici :
Pour la Black box, vous ne donnez aucun accès. C’est une attaque réalisée au plus proche des pirates où l’on ne connait rien du fonctionnement interne.
Il est possible de réaliser cette méthode sans en informer les équipes chargées de détecter les attaques. Afin de les mettre en confrontation direct et de constater leur proactivité.
Ensuite, la White box, vous donnez tous les accès aux pentesters. Avec, ils vont avoir un regard neuf sur votre système d’information et vont pouvoir détecter éventuellement toutes les vulnérabilités sur le périmètre cible.
Celle ci est plus poussée que la méthode black box. Elle permet de révéler certaines failles qui ne sont pas forcément visible lors du black box mais peuvent se révéler tout aussi compromettantes. Et contrairement à elle, c’est une méthode plus complète collaboration avec les équipes chargées du système d’information.
Et enfin la Grey box, où là vous ne donnez qu’une partie des informations, qui lui permettront de gagner du temps dès le départ.
Le pentester aura donc accès à certaines informations comme un compte utilisateur, sur un site web ou un compte utilisateur sur PC de votre société, par exemple.
A partir de là, il va pouvoir commencer à se mettre à la place d’un salarié malveillant et voir jusqu’à quelles fins il peut faire des choses critiques dans le système d’information.
À quoi ça sert ?
L’objectif est de trouver des vulnérabilités sur les produits ou l’infrastructure de votre entreprise pour éviter que des vrais pirates les trouvent avant nous et ne cassent votre système.
Nous allons donc vérifier ce que l’on peut récupérer dans votre système d’information et jusqu’où on peut naviguer dans le système, voire carrément prendre complètement le contrôle de votre infrastructure.
Evidemment, l’objectif final est de fournir un livrable qui va révéler les différentes problématiques trouvées pendant le pentest.
Nous vous dévoilerons les méthodes et outils utilisés, et proposerons un plan de remédiation à apporter à votre système d’information et bien sûr vous féliciteront sur les bonnes pratiques que vous avez adoptées !
Quels types de systèmes à pentester ?
Tout système peut être piraté. Sites web, infrastructures, réseaux informatiques, logiciels, téléphones, serrures etc…
Le pentester doit donc trouver des vulnérabilités avant les vrais pirates qui pourrait engendrer de gros problèmes aux sociétés.
Quelles sont les différentes phases d’un pentest ?
La première étape passe par le pré engagement. Forcément, un contrat doit être signer avec l’employeur (définir périmètres, autorisations & restrictions pendant le pentest qui seront respecter).
Deuxième étape, la collecte de renseignement. C’est-à-dire plus précisément la recherche d’informations sur les périmètres cibles, les technologies que vous utilisez, les comptes utilisateurs et la structure de l’entreprise afin de trouver des techniques d’attaques et des points d’entrée.
L’énumération des services est une étape vraiment importante, que ce soit un réseau ou sur un serveur, puisqu’il permet d’identifier les différentes portes d’entrées pour un attaquant.
Ensuite vient l’étape d’exploitation. Il faut tenter d’exploiter les différentes vulnérabilités trouvées dans la phase précédente, afin de compromettre la machine.
Par exemple, depuis un site web, on peut essayer d’avoir un Shell sur la machine. Ensuite c’est comme si nous étions en black box mais à distance, puisqu’il est potentiellement possible d’accéder à votre réseau depuis l’extérieur si le site est hébergé dans votre infrastructure.
Enfin, nous passons aux livrables. Cette étape est la plus importante et la plus longue à réaliser. Elle nécessite toutes les traces des tests qui ont été effectués pendant les pentest.
L’idée est de tout mettre au propre pour que le rapport de pentest soit lisible.
De là, vous allez avoir une synthèse managériale qui répertorie les différentes vulnérabilités trouvées en vulgarisant au maximum pour des personnes non techniques, et une autre synthèse plus détaillée pour des ingénieurs ou des techniciens avec des annexes.
Pour une explication plus détaillé, nous vous laissons découvrir notre vidéo dédiée ci dessous !
Pourquoi est-ce important de réaliser des pentest ?
Aujourd’hui tout se digitalise. On est passé à “l’ère du tout numérique”, où les appels, SMS, emails, chats… tout est donnée !
Plus il y a d’information à gérer, plus le périmètre d’attaque est grand. Cela donne donc plus de chance qu’il y ait une faille.
Les défenseurs dans les entreprises doivent penser à tout. Ils doivent trouver toutes les failles possibles que les pirates pourraient exploiter, et surtout sécuriser le système sur plusieurs couches différentes. Les pirates seront bloqués le plus rapidement possible.
Typiquement, bloquer sa session par un mot de passe, c’est très bien.
Mais si l’utilisateur n’est pas sensibilisé aux risques, un pirate peut compromettre son PC en détournant son attention.
Par exemple, en laissant trainer une clé USB contenant un malware avec une étiquette écrit “perso” ou “confidentiel”, cela laissera passer la curiosité de l’utilisateur qui la branchera sur son PC.
Le pirate aura un accès total sur la machine. À moins de mettre en place des sécurités à plusieurs niveaux.
Plus la surface d’attaque augmente, plus le risque est grand et plus il y a de failles.
C’est pour cela que la réalisation de pentest est très importante aussi bien en interne qu’en externe.
Plus de 70% des attaques proviennent de l’intérieur d’une entreprise ! Un salarié qui veut se venger ou nuire à sa société n’arrive plus souvent qu’on ne le pense.
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
L’ISO 9001: Le management de la qualité regroupe l’ensemble des pratiques de l’entreprise visant à satisfaire les clients et fournir des produits correspondants à leurs attentes.
Se certifier 9001 permet aussi de conquérir de nouveaux marchés, d’améliorer la performance des processus de votre entreprise, de son fonctionnement et de son organisation globale. On cherche à améliorer la productivité !
Voyons ensemble 5 points importants à connaître pour maîtriser le concept de la qualité !
1. l’ISO 9001
Lorsque qu’une entreprise souhaite se certifier 9001, elle doit évidemment être conforme à ses exigences.
Les exigences correspondant simplement aux besoins et aux attentes, souvent obligatoire à mettre en place dans une démarche de certification.
Cette norme à une structure assez particulière, souvent dite « HLS » (high level structure), c’est-à-dire qu’elle a la même configuration que d’autre référentiel, notamment que la sécurité (ISO 45001), l’environnement (ISO 14001), ou encore un autre référentiel auquel nous travaillons au quotidien chez Feel Agile, l’ISO 27001 qui correspond au référentiel du management de la sécurité du système d’information.
Ainsi lorsque l’on met en place un référentiel ISO 9001, on peut également réaliser la même démarche sur d’autre système de management, puisque la structure est la même !
L’ISO 9001 se base sur l’amélioration continue et s’inscrit directement dans un cycle PDCA. Ce cycle consiste tout d’abord à planifier votre système de management, le mettre en place, puis vérifier que votre mise en place est bien conforme et répond aux exigences du référentiel.
Si ce n’est pas conforme, vous mettez en place simplement d’autres actions d’améliorations, en recommençant ce cycle !
2. Les 7 principes de l’ISO 9001
Cette certification met en avant 7 principes importants de la qualité.
L’orientation client ; où l’entreprise se donne d’abord comme priorité la satisfaction client.
Leadership ; qui est la responsabilité de la direction, et l’implication dans la certification.
L’implication du personnel ; les collaborateurs ont vraiment conscience de leurs impacts dans le système de management, et sont impliqués au maximum dans cette gestion pour éviter tout conséquence.
Approche processus ; permet une optimisation de l’organisation et de la performance, grâce aux processus des organismes.
S’améliorer ; un principe logique mais fondamental, un chapitre entier est dédié à ce sujet (chapitre 10)
La prise de décision ; une décision est importante que lorsqu’elle est prise à partir de faits réels et de preuves, au lieu de manière subjective
Le management des relations des parties intéressées ; ces parties sont des personnes ayant un impact sur l’entreprise, et l’organisme va devoir gérer les relations pour obtenir une performance durable.
3. La certification ISO 9001, comment ça se passe ?
Comme de nombreuses certifications, celle-ci est valable 3 ans, c’est-à-dire qu’il sera nécessaire de la renouveler au bout de ce cycle.
L’idée et l’objectif lors de la phase de préparation est de gagner en maturité, et d’être conforme aux exigences de la norme.
Pour la certification en elle-même, la démarche est dans un premier temps de demander des dates et devis à différents organisme afin de choisir ce qui vous convient le mieux.
Votre date étant fixée, vous réalisez votre audit auprès de votre auditeur qui vous donnera un premier avis. Ces appréciations remontent au comité de certification afin de les approuver définitivement.
Après l’obtention de votre certificat, durant votre cycle de 3 ans vous serez de nouveau auditez chaque année. Lors de ces audits de suivis, l’auditeur va analyser certains sujets qu’il n’avez pas forcément abordé précédemment, et vérifier si vos points sensibles repérés lors de votre audit initial ont bien été levés.
Vous en voulez plus ? une vidéo dédiée vous explique tout de la meilleure façon possible !
4. Qui peut se certifier ?
La qualité est applicable à absolument tout type d’entreprise. Une entreprise du numérique, du bâtiment, agroalimentaire, tout le monde peut entamer une démarche de certification !
À savoir, l’ISO 9001 étant une norme reconnue à l’internationale, se certifier à celle-ci vous autorise à travailler en France avec des clients à l’étranger !
5. Quels avantages apporte la certification ?
Cette certification apporte plusieurs avantages. Tout d’abord, celle-ci vous permet de piloter au mieux vos activités afin d’évaluer leurs performances.
Ainsi, vous améliorez vos produits et donc la satisfaction client.
De plus, vous avancez avec un avantage concurrentiel. Votre entreprise n’étant pas la seule sur le marché, la certification installe une confiance auprès des clients. Elle vous apporte une certaine maturité en gage de qualité et de satisfaction client.
Vous partez également avec une certaine notoriété auprès des collaborateur, puisque votre travail fourni au sein de l’entreprise sera forcément valorisé !
Contactez-nous
Des projets ? Des questions ? N'hésitez pas à nous contacter !
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Durée
Description
cookielawinfo-checbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
