Votre infrastructure informatique est-elle vulnérable? Qu’en savez-vous? Que devriez-vous faire?

Aujourd’hui, plus qu’hier, les systèmes informatiques des entreprises sont ouverts sur le monde extérieur (à l’entreprise). Les évolutions technologiques et les mutations dans l’organisation du travail, imposées par le covid, sont passées par là. Alors que nous sommes dans une phase de stabilisation avant, qui sait, une prochaine vague… le moment est sans doute bon pour se pencher sur les vulnérabilités et les risques liés à cette plus grande ouverture. D’autant que ces dernières semaines ont été riches en annonces d’attaques.

La première étape est sans surprise de s’adresser à des spécialistes de la sécurisation des infrastructures informatiques et de leur demander un premier diagnostic. Il est fort probable que celui-ci débouche déjà sur un certain nombre d’actions correctrices. Ensuite, en fonction de la visibilité de votre marque, de l’attrait qu’elle représente, de vos activités, de votre santé financière… il sera plus ou moins pertinent d’aller plus loin dans la traque des vulnérabilités en organisant des crash-tests voire même en sollicitant le concours de hackers éthiques (ces hackers qui tentent de mettre au jour et d’activer les vulnérabilités de votre système, pour la bonne cause et en toute transparence).

Cela fait quelques temps, déjà, que Decathlon s’intéresse à la sécurité de son site de commerce en ligne (http://www.decathlon.be). Dans le cadre du travail réalisé avec son partenaire, Decathlon a récemment accepté d’être au centre d’un événement public dont l’objectif était de pirater son site de e-commerce (https://tinyurl.com/3xwvdett). Il fallait oser!

Les hackers sont forts! Début juin, en quelques heures, ils ont mis au jour plusieurs dizaines de failles plus ou moins importantes, quand bien même l’équipe de développement du logiciel de base (Prestashop) et l’équipe de Decathlon (aidée par son partenaire spécialisé) étaient bien attentives à la sécurité.

Bien sûr, les PME n’ont pas les moyens de compléter leurs équipes de spécialistes en sécurité. Bien sûr le recours à des partenaires spécialisés, même ponctuel, représente un coût important. Mais une attaque peut aussi avoir des effets dévastateurs. C’est pourquoi il est important d’identifier et d’évaluer les risques et la manière de les traiter. Et c’est de la responsabilité du management d’accepter ou de refuser les risques : de les traiter en y apportant des correctifs ou de décider de ne rien faire ; de les transférer à des tiers, en sous-traitant leur gestion ou en s’assurant contre les conséquences indésirables ; de se préparer à leur survenance et d’envisager les actions à prendre au cas où…

Rechercher sur le blog

Recherche à travers les sites de la SPI

Send this to a friend