hopital dax

Cyberattaque à l’hôpital de Dax : pourquoi un test de pénétration aurait été nécessaire ?

Victime d’une cyberattaque dans la nuit du lundi 8 au mardi 9 février 2021, l’hôpital de Dax fait face à une situation “cauchemardesque” depuis ce début de semaine. Récemment le directeur de l’hôpital qui doit faire face à l’épidémie de Covid-19, aux interventions déprogrammées et à la mise hors service de la quasi-intégralité de son service informatique, vient de recevoir une demande de rançon.

Ces logiciels malveillants, aussi appelés ransomwares ou rançongiciels, sont devenus le fléau des hôpitaux et des PME depuis que la pandémie a débutée. Les attaques visant les hôpitaux et centres hospitaliers auraient bondi d’environ 500% selon PWC.

Face à cette réalité, il devient crucial de protéger son activité. Vous disposez de plusieurs outils pour contrer ces attaques malveillantes mais la meilleure reste le test d’intrusion ou “penetration test” en anglais. En vous mettant dans la peau de quelqu’un souhaitant vous nuire, ce test vous permet de détecter de manière efficace et pertinente les failles de votre SI.

 

 

Le test de pénétration ou pen test, qu’est-ce que c’est ?

 

Un test d’intrusion – ou pen test, en abrégé – est une simulation d’une éventuelle cyber-attaque contre un système informatique réalisée par un professionnel sans intention malveillante. L’objectif principal de ces tests est de trouver des vulnérabilités exploitables avant que quelqu’un d’autre ne le fasse, afin de pouvoir les corriger et les traiter en conséquence.

Ce test de pénétration doit se terminer par la présentation d’un document formel expliquant et détaillant toutes les conclusions. Ce document doit contenir au moins deux sections principales : un résumé exécutif dans lequel le ou les testeurs expliquent le processus et les résultats à un haut niveau, et un résumé technique dans lequel les détails plus approfondis peuvent être expliqués.

 

 

Quels sont les avantages des tests de pénétration ?

 

De nos jours, les entreprises de toutes tailles sont présentes sur les réseaux et l’internet a permis aux attaquants de s’attaquer facilement aux entreprises du monde entier. Une cyberattaque peut nuire à une entreprise de nombreuses façons, et pas seulement sur le plan économique. La marque, la réputation et même la propriété intellectuelle d’une organisation peuvent être affectées.

Les avantages potentiels d’un pen-test sont les suivants :

  • Identifier les éventuelles failles de sécurité informatique entreprise avant qu’un agresseur ne puisse le faire ;
  • Identifier les éventuelles vulnérabilités d’un réseau ou d’un programme informatique ;
  • Fournir des informations qui peuvent aider les équipes de sécurité à atténuer les vulnérabilités et à créer un mécanisme de contrôle des attaques.

 

Quand devriez-vous faire un test de pénétration ?

 

Certaines entreprises font l’erreur de commencer un test de pénétration trop tôt dans le déploiement d’un réseau ou d’un système. Lors du déploiement d’un système ou d’un réseau, des changements se produisent constamment, et si un test d’intrusion est entrepris trop tôt dans ce processus, il pourrait ne pas être en mesure de détecter d’éventuelles failles de sécurité futures. En général, un pen-test doit être effectué juste avant la mise en production d’un système, une fois que le système n’est plus dans un état de changement constant.

L’idéal est de tester tout système ou logiciel avant sa mise en production. La plupart des entreprises n’adhèrent pas à cette recommandation car elles sont désireuses d’obtenir rapidement leur retour sur investissement (ROI). Les entreprises peuvent également ne pas suivre cette meilleure pratique parce qu’un projet a dépassé son délai ou son budget. Ces facteurs rendent les entreprises enthousiastes à l’idée de mettre en production leurs nouveaux services sans avoir effectué les évaluations de sécurité informatique appropriées. C’est un risque qui doit être évalué et mis en perspective lors du déploiement de nouveaux systèmes.

 

 

À quelle fréquence devriez-vous faire un test de sécurité ?

 

Un test de pénétration n’est pas une tâche unique. Les réseaux et les systèmes informatiques sont dynamiques – ils ne restent pas les mêmes très longtemps. Au fil du temps, de nouveaux logiciels sont déployés et des modifications sont apportées, et ils doivent être testés ou re-testés.

La fréquence à laquelle une entreprise doit effectuer des tests d’intrusion dépend de plusieurs facteurs, notamment

  • Taille de l’entreprise. Ce n’est un secret pour personne que les grandes entreprises ayant une plus grande présence en ligne pourraient aussi avoir plus d’urgence à tester leurs systèmes, car elles auraient plus de vecteurs d’attaque et pourraient être des cibles plus juteuses pour les acteurs de la menace.
  • Budget. Les tests de pénétration peuvent être coûteux, et une organisation disposant d’un budget plus restreint pourrait être moins à même de les réaliser. Le manque de fonds pourrait limiter les tests d’intrusion à une fois tous les deux ans, par exemple, alors qu’un budget plus important pourrait permettre des tests plus fréquents et plus approfondis.
  • Règlements, lois et conformité. En fonction du secteur, diverses lois et réglementations peuvent exiger des organisations qu’elles effectuent certaines tâches de sécurité, y compris les tests d’intrusion.
  • Infrastructure : Certaines entreprises peuvent avoir un environnement 100 % cloud et ne pas être autorisées à tester l’infrastructure du fournisseur de cloud. Le fournisseur peut déjà effectuer des tests d’intrusion en interne.

Les tests d’intrusion ne doivent pas être pris à la légère ; ils ont le potentiel de fournir un service de sécurité essentiel à toutes les entreprises. Pour certaines organisations, il pourrait même être obligatoire. Dans le cas du centre hospitalier de Dax, les mesures de sécurité n’étaient malheureusement pas à la hauteur de pirates particulièrement motivés, dont on ne sait pas encore quel type d’informations confidentiels ils auront pu récolter.

 

ARTICLES CONNEXES
MICROSOFT TEAMS

Vous souhaitez plus d’infos ?


Retour vers le haut

Découvrir les fonctionnalités