« Où va le travail ? » – Les entreprises font de plus en plus appel à des consultants pour protéger leurs secrets industriels et les données de leurs clients.

Certaines choses sont trop belles pour être vraies. Comme ce courriel reçu par Marc en janvier 2018. A l’occasion de la nomination de Star Wars 8 aux Oscars, son comité d’entreprise lui annonce qu’un jeu-concours est organisé pour les salariés. A la clé, des mugs, des sabres lasers et des costumes. Pour tenter sa chance, il faut seulement remplir le document Word joint. Les images représentant les lots ne se chargent pas. Le texte suggère d’« activer les macros » pour qu’elles apparaissent. Le salarié s’exécute et lance alors le téléchargement discret d’un logiciel malveillant qui permettra de prendre le contrôle de son ordinateur.

Cette fois, Marc a eu de la chance. Le courriel qu’il a reçu n’est pas issu de l’une des 1 869 attaques – pas forcément réussies – signalées en 2018 à l’Agence nationale de la sécurité des systèmes d’information (Anssi). Il a été envoyé par Sylvain Hajri, un consultant mandaté par son employeur pour tester la sécurité de son réseau informatique.

Un manquement grave à la sécurité des données de leurs clients peut coûter très cher aux entreprises depuis l’entrée en vigueur du RGPD

La démarche est de plus en plus courante au sein des grandes entreprises, conscientes que leurs secrets industriels font l’objet de convoitises, mais aussi qu’un manquement grave à la sécurité des données de leurs clients peut coûter très cher depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD) en mai 2018 – jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires mondial. Pour cartographier leur niveau d’exposition, certaines organisations font donc appel à des experts en intrusion, désignés par le terme anglais pentester (contraction de penetration et tester).

Evaluer toutes les menaces

Avant de s’atteler au test, il faut établir les besoins du client. S’agit-il de trouver des failles ou d’évaluer aussi la réactivité des systèmes de détection internes ? Quelles menaces pèsent sur l’entreprise ? Veut-elle se protéger d’un potentiel employé malveillant, d’un attaquant opportuniste qui chercherait à gagner rapidement de l’argent ou d’une organisation professionnelle qui dispose, elle, de temps et de moyens pour chercher une faille durant des mois ? Faut-il tester seulement un site Web ou aussi les services des sous-traitants et la sécurité du siège social ? L’entreprise et les « pentesteurs » décident également des personnes au courant des tests. Moins les salariés sont informés, plus on s’approche des conditions réelles. Ils doivent aussi s’accorder sur les techniques autorisées. Un e-commerçant appréciera peu qu’un pentesteur paralyse son site pour montrer qu’il est en capacité de le faire.