Un test d'intrusion permet à votre organisation de déterminer l'efficacité de sa cybersécurité et de sa sécurité physique . Il permet également d'identifier les vulnérabilités de votre programme de sécurité et de trouver des solutions aux problèmes rencontrés.
Face à la multiplication des violations de données et à la sophistication croissante des cyberattaques, il est impératif pour toutes les entreprises de réaliser des tests d'intrusion. Ces tests permettent d'identifier les vulnérabilités de votre entreprise et de les corriger, tout en vous aidant à optimiser vos dépenses en cybersécurité et à garantir la conformité de votre entreprise aux réglementations en vigueur.
Que votre entreprise soit petite, moyenne ou figurant au classement Fortune 500, les tests d'intrusion sont indispensables et peuvent vous être utiles à bien des égards. Toutefois, la fréquence à laquelle votre entreprise devrait les réaliser dépend de plusieurs facteurs :
- L'ajout de nouveaux systèmes, sites ou infrastructures
- Conformité réglementaire
- Popularité ou prolifération de votre entreprise
- La taille de votre organisation
Quand dois-je effectuer un test d'intrusion ?
Vous savez qu'il est important de réaliser des tests d'intrusion, mais déterminer le moment opportun peut s'avérer complexe, car il s'agit d'un processus coûteux. Cependant, ne pas effectuer de test peut coûter bien plus cher à votre entreprise à long terme. Examinons donc les facteurs à prendre en compte pour déterminer la fréquence des tests d'intrusion :
Ajout de nouveaux systèmes, sites ou infrastructures.
Si vous apportez une modification importante à votre infrastructure critique, vos logiciels, vos réseaux et/ou vos politiques, vous devez effectuer un nouveau test d'intrusion. Celui-ci permettra de détecter les vulnérabilités qui pourraient être apparues suite à cette modification. Cela est particulièrement important si vous ajoutez un nouveau site physique. Un test d'intrusion physique ainsi qu'une évaluation de la cybersécurité seront alors nécessaires. Ce nouveau test protégera non seulement vos actifs, mais aussi votre nouvel investissement. De plus, il vous aidera à déterminer les meilleures mesures de cybersécurité pour protéger les nouveaux systèmes ou appareils.
En revanche, si vous migrez votre activité vers le cloud et abandonnez vos serveurs et réseaux physiques, renseignez-vous auprès de votre fournisseur de services cloud sur ses tests d'intrusion. Votre entreprise pourrait tirer profit de ces investissements. De plus, vous n'auriez probablement pas accès à l'infrastructure du fournisseur pour réaliser vous-même un test d'intrusion.
Conformité réglementaire.
De nombreuses normes de conformité imposent aux entreprises de réaliser un test d'intrusion. Si vous êtes soumis à une réglementation gouvernementale, celle-ci peut définir votre calendrier de tests d'intrusion. Par exemple, la norme PCI DSS exige un test d'intrusion annuel et à chaque modification du système de votre organisation. La loi Sarbanes-Oxley de 2002 (SOX) , la norme ISO 27001 et la loi HIPAA (Health Insurance Portability and Accountability Act) imposent également un test d'intrusion annuel réalisé par un tiers.
La taille de votre organisation.
Tout comme la popularité, la taille d'une entreprise la rend plus vulnérable aux cybercriminels. Les grandes entreprises, du fait de leurs actifs plus importants et de leur présence en ligne souvent plus étendue, sont davantage exposées aux risques. Elles présentent également plus de vulnérabilités, car leur effectif et leur parc informatique plus importants multiplient les points d'accès. Les entreprises disposant de budgets conséquents et d'une présence internationale importante devraient opter pour un test d'intrusion tous les six mois ou tous les trimestres.
Popularité ou prolifération de votre entreprise.
Si votre entreprise bénéficie d'une certaine notoriété, est mise en avant dans les médias ou connaît une croissance de son activité, elle est plus exposée aux cyberattaques. Plus vous êtes populaire auprès du grand public, plus vous attirez l'attention des cybercriminels. Dès que votre présence médiatique s'accroît, il est judicieux de réaliser un test d'intrusion.
Veillez à respecter les bonnes pratiques en matière de fréquence des tests d'intrusion.
En règle générale, il est conseillé de réaliser un test d'intrusion annuel. Toutefois, il existe toujours des exceptions. Pour tirer le meilleur parti d'un test d'intrusion, votre entreprise devrait établir une relation de confiance avec le prestataire qui le réalise. Une fois qu'un test d'intrusion initial aura été effectué par votre prestataire de confiance, celui-ci aura une connaissance approfondie de vos systèmes, de vos vulnérabilités, de votre programme de cybersécurité, etc. Il sera alors en mesure de collaborer avec vous pour définir un calendrier de tests d'intrusion logique et efficace, qui peut être annuel, bisannuel ou trimestriel, selon vos besoins.