Passer au contenu

Paranoïaque, moi ?

MM. Red, Green, Yellow et Purple sont cadres dans des services informatiques. Chacun leur tour, ils vous feront partager le fruit de leurs expériences. Cette semaine, Mister Yellow…

C’est bien connu, les spécialistes de la sécurité informatique sont un peu paranoïaques, par nature. C’est même pour cela qu’on les paye. Ainsi, responsable de la sécurité d’une grande entreprise, je suis extrêmement dubitatif quant à la véritable valeur des tests d’intrusion externe que nous proposent de plus en plus de sociétés dites ” spécialisées “. Récemment, l’une d’entre elles, qui compte parmi les soi-disant leaders du marché, m’a contacté pour me proposer ses services. Le commercial, bille en tête, m’entreprend : “Avez-vous un coupe-feu ?”, “Quel coupe-feu utilisez-vous ?”, et m’explique que je serais probablement surpris, à travers sa batterie de tests, de constater que mon réseau comporte des failles. Bien entendu, mon interlocuteur peut m’aider à y remédier, en faisant intervenir un expert pour la modique somme de… 9 000 francs par jour. Légèrement agacé par ce discours et ces questions à la limite du “social engineering”*, je le questionne sur la méthode employée. La méthode ? Une procédure maison sur laquelle il ne peut donc pas s’étendre… Les outils ? Saint, NMAP, etc. Des logiciels téléchargeables et utilisables par tout un chacun. La valeur ajoutée de tout cela n’est pas manifeste. Tout responsable confronté à des problèmes de sécurité sait que seule une méthode bâtie sur une véritable culture sécuritaire donne des résultats. Et que cette culture, en général, transparaît clairement. Encore faut-il l’avoir acquise. La plupart de ces sociétés sont passées, par opportunisme, de la problématique an 2000 à celle de la sécurité, ce qui a de quoi laisser songeur. Le test d’intrusion externe peut effectivement être un moyen efficace d’audit. Mais pour me débarrasser des importuns, je pense laisser traîner un petit serveur rempli de bugs et de holes. Juste pour voir… s’ils le voient. Histoire de confirmer mes doutes sur leurs compétences. Mais peut-être suis-je un peu paranoïaque…* Une technique utilisée par les hackers pour récolter le maximum dinformations.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


M. Yellow@decisionmicro. com