Blog

Test d’intrusion : les 5 erreurs les plus courantes

Le pentest ou test d’intrusion est un outil précieux pour identifier les vulnérabilités d’un système informatique et améliorer sa sécurité. Mais si cette prestation n’est pas envisagée correctement, il y a de fortes chances qu’elle passe à côté de sa mission principale et s’avère inefficace.
Artecys, entreprise rhônalpine de cybersécurité au service des TPE, PME, PMI, collectivités et institutionnels vous aide à préparer votre collaboration avec ses pentesters.

Réfléchissez à vos objectifs

Erreur n°1 :  Penser augmenter son niveau de protection avec des attentes mal cernées… Dans un tel cas, les vulnérabilités les plus critiques subsistent la plupart du temps après le pentest, car elles n’ont pas été recherchées …

Par conséquent, définissez des objectifs précis avant de faire réaliser un test d’intrusion. Documentez-les et communiquez-les clairement à notre équipe. Quelles zones de votre système voulez-vous tester, pour y détecter quoi ? Quel type d’attaques souhaitez-vous simuler ?

Tout ce que vous aurez pris la peine de poser sur le papier sera important pour nourrir la discussion préalable, présenter vos spécificités afin d’obtenir nos meilleures suggestions issues de notre expérience métier.

Communiquez avec nos équipes

Erreur n°2 : Penser qu’en tant que prestataire cyber nous savons déjà tout sur votre système d’information (SI). C’est faux !  En fonction des types de pentests prévus, vous aurez à nous fournir certains accès et informations.

Les interactions entre votre équipe référente et nos consultants sont indispensables pour garantir le succès et l’efficacité du pentest. Nous préconisons une communication ouverte avant, pendant et après le test d’intrusion et nous organisons des réunions régulières pour discuter des progrès du test et des résultats préliminaires.

Quels que soient votre degré de connaissance et votre implication dans la cybersécurité de votre entreprise. Il n’y a pas de question idiote – si ce n’est pas clair dans votre tête ; il faut certainement à creuser dans le process pour lever une ambiguïté ou manquement à la sécurité. Notre équipe vous accompagne de manière bienveillante et n’hésite pas à vous solliciter pour de nombreux points aussi.

Suivez les recommandations

Erreur n°3 : Faire faire un pentest et ne pas procéder ensuite à la correction des vulnérabilités identifiées. Ne souriez pas, cette situation est encore trop courante…

À la suite d’un test d’intrusion, nous vous fournissons des recommandations et un plan d’action pour que vous puissiez mettre en œuvre les solutions pour remédier aux failles.

Bien sûr, si vous ne disposez pas des compétences en interne pour effectuer ces correctifs, nos équipes se tiennent à votre disposition pour vous accompagner tout au long des remédiations.

Choisissez le bon prestataire de pentest

Erreur n°4 : Choisir le premier prestataire venu sans prendre le temps d’analyser sa méthodologie de travail et sa volonté de vous accompagner sur le long terme…

Internet regorge de solutions de « pentest » en ligne… c’est un abus de langage. Chez Artecys nous parlons plutôt de tests automatisés (que nous proposons aussi avec notre outil Otasio). Ces derniers permettent de mettre à jour les failles de sécurité les plus répandues et les plus connues tandis qu’un véritable pentest colle parfaitement à vos besoins de vérification. Il est obligatoirement organisé par un consultant expérimenté puis conduit par un collaborateur pentesteur.

Pour trouver votre entreprise prestataire en cybersécurité, visitez son site internet et ses références, considérez ses qualifications, ses certifications et ses labels, demandez si possible un avis à vos pairs… Chez Artecys (entreprise labelisée Expert Cyber et référencée sur les plateformes gouvernementales Cybermalveillance et France Num, nous vous proposons d’échanger librement lors d’une courte visio sans engagement).

Tirez les leçons et poursuivez votre démarche cyber

Erreur n°5 : Ne pas prendre le temps de tirer les leçons de son premier pentest ni d’envisager la suite est regrettable…

Le 1er pentest est une occasion de beaucoup apprendre sur la sécurité de votre système informatique et de l’améliorer. Tout commence en fait à la réunion de clôture lorsque nous débriefons les points à retenir et déroulons les recommandations.
Préparez-vous à bâtir votre plan d’action à moins que l’on s’en soit chargé pour vous (selon le cahier des charges établi).

Le test d’intrusion peut poser la 1re pierre d’une stratégie globale, seul ou au sein d’un audit de sécurité. Ces méthodes très opérationnelles sont complémentaires des audits organisationnels ou techniques beaucoup plus larges.

Venez discuter de vos préoccupations et de vos besoins en cybersécurité professionnelle ! Nous nous ferons un plaisir de vous conseiller.