Aucune entité n’est à l’abri d’une cyberattaque, y compris celles qui n’ont aucune donnée sensible.

Les attaques sont généralement automatisées à grande échelle sur des dizaines de milliers de sites web ou d’équipements connectés à internet, et les victimes ne sont pas ciblées précisément.

Les motivations des hackers pour prendre le contrôle de votre serveur peuvent être de :

• S’entraîner ou s’amuser
• Attaquer vos utilisateurs/visiteurs
• L’utiliser comme proxy pour lancer d’autres attaques
• Miner de la cryptomonnaie
• Demander une rançon

Dans le cas d’une cyberattaque, votre entreprise pourrait subir la plupart de ces effets :

• Demande de rançon
• Destruction de votre infrastructure
• Perte de revenus et solvabilité menacée due aux interruptions de service
• Perte de confiance des clients et des partenaire commerciaux dans votre entreprise
• Amendes pour non-respect des lois sur la protection des données et de la vie privée
• Pertes dues au vol de propriété intellectuelle
• Perte de données critiques

Le prix de l’audit va varier en fonction :

• De la durée de l’audit
• Du tarif journalier
• Du niveau d’expérience

La durée d’un audit va varier en fonction :

• Du périmètre de l’audit
• Du niveau de profondeur attendu (se limiter aux failles les plus courantes ou non)
• Du choix de l’approche (boîte noire/boîte grise)
• De la complexité des services à auditer
• Du budget

Pour sécuriser au mieux vos systèmes, il est préconisé de mener un audit de sécurité de manière régulière, selon le niveau de criticité du système en place ou après chaque modifications majeure. Cela peut-être :

• Mensuellement (recommandé pour l’audit de vulnérabilité)
• Trimestriellement
• Semestriellement
• Annuellement

L’idéal étant de ne pas attendre d’avoir des dommages, qui se révéleront bien plus coûteux qu’un audit, avec des dégâts parfois difficiles à chiffrer en termes de dégradation d’image, de baisse de référencement, de perte de clientèle…

La criticité des failles est évaluée selon 4 niveaux (faible, modéré, élevé, critique).

Les critères sont habituellement basés sur la norme du Common Vulnerability Scoring System (CVSS) et sur le contexte de l’entreprise. Trois critères principaux sont pris en compte pour évaluer le niveau de risque :

• L’impact potentiel est basé sur les effets qu’elle produirait en termes de :
  • Disponibilité
  • Intégrité des données
  • Confidentialité
• L’exploitabilité potentielle mesure la complexité à exploiter la faille. Elle influe sur :
  • La vraisemblance
  • L’occurrence
  • La probabilité qu’un scénario d’attaque se réalise en fonction de la complexité opérationnelle et technique, du vecteur d’accès, des droits accès requis, etc.
• L’impact business d’un point de vue :
  • Opérationnel
  • Légal
  • Financier
  • Image

• Avoir une solution de sauvegarde
• Définir vos priorités de sécurité
• Ne pas essayer de corriger ou dissimuler des failles la veille de l’audit de sécurité
• Révéler au pentester les failles déjà connues pour ne pas perdre inutilement du temps d’audit de sécurité
• Prévenir son équipe et ses sous-traitants (infogérant ou hébergeur)
• Vérifier la présence d’une clause d’auditabilité dans les contrats des sous-traitants
• Ne pas prévoir un audit pendant une opération informatique ou business majeure

Diverses mesures sont prises en amont et au cours de l’audit pour prévenir l’impact potentiel des tests sur la stabilité de l’environnement technologique et la continuité des opérations de production.

Un plan d’audit est initialement mis en place afin de prendre en compte les risques techniques, les plages horaires de réalisation des tests… et prévenir tout impact potentiel.