Oui ! La réponse simple et rapide est oui, mais pour de nombreux dirigeants de PME, la réalité est plus complexe. Les tests d'intrusion sont onéreux . Les chefs d'entreprise doivent comparer le coût d'un test d'intrusion au coût potentiel d'une fuite de données. De plus, ils doivent évaluer les bénéfices d'un tel test s'ils l'intègrent à leur budget informatique, d'autant plus qu'il ne s'agit généralement pas d'un test ponctuel. Il est recommandé d'en réaliser un chaque année, après toute mise à niveau ou modification du réseau, de la sécurité ou des serveurs, après une forte augmentation des effectifs ou l'ouverture de nouveaux sites.
Questions à se poser pour déterminer si un test d'intrusion est nécessaire
Pouvez-vous vous permettre une fuite de données ?
C'est une question cruciale. Si un test d'intrusion représente un coût initial important, une fuite de données coûtera bien plus cher, sans pour autant être systématique, même si elles sont de plus en plus fréquentes, notamment pour les petites entreprises.
On estime que les violations de données causeront 6 000 milliards de dollars de dommages d'ici 2021 ; il est donc judicieux d'envisager un test d'intrusion. Cependant, les petites entreprises devront connaître et analyser la valeur de leurs actifs les plus critiques, l'impact de leur perte et les coûts indirects auxquels elles pourraient être confrontées, comme une perte d'activité, afin de déterminer si l'investissement initial dans un test d'intrusion est justifié.
Un test d'intrusion est-il requis par les normes de conformité ?
Les tests d'intrusion garantissent également la conformité de votre entreprise aux exigences réglementaires. De nombreuses réglementations, telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), la loi Sarbanes-Oxley, la loi HIPAA et la norme 201 CMR 17.00, imposent un test d'intrusion annuel réalisé par un tiers. Si vous êtes soumis à l'une de ces normes sectorielles, vous devez déterminer si un test d'intrusion est nécessaire pour garantir votre conformité.
Votre budget informatique prévoit-il la possibilité d'effectuer un test d'intrusion ?
Vous pouvez déterminer cela soit lors de l'élaboration de votre budget, soit à la fin de votre exercice fiscal, en vérifiant votre solde budgétaire. Si vous disposez de fonds à la fin de l'exercice, c'est le moment idéal pour réaliser un test d'intrusion. Non seulement vous utiliserez votre budget annuel, mais les résultats du test vous aideront à optimiser vos dépenses futures. Un test d'intrusion mettra en évidence les principales faiblesses de votre organisation. Ce sont ces faiblesses, vulnérables aux attaques, qui nécessitent un investissement accru en cybersécurité. Sans test d'intrusion pour guider votre équipe de cybersécurité, votre entreprise risquerait de dépenser davantage dans un large éventail d'outils de sécurité, voire de surinvestir dans un domaine où des fonds seraient mieux utilisés.
Pourquoi devrais-je effectuer un test d'intrusion ?
Déterminer si un test d'intrusion est adapté à votre petite entreprise est une décision très personnelle, mais qui ne doit pas être prise à la légère. Si vous évaluez vos options et décidez de procéder à un test, il est essentiel de bien choisir votre prestataire, car vous y investirez un temps et un argent considérables. Contactez plusieurs entreprises de cybersécurité, demandez des devis et un plan détaillé avant de prendre votre décision. Une entreprise de cybersécurité compétente devrait se faire un plaisir de répondre à toutes vos questions et de vous fournir des informations précieuses dès votre premier échange, afin que vous sachiez exactement à quoi vous attendre de son rapport final. Ne choisissez pas l'option la moins chère ; privilégiez l'entreprise qui répondra à vos attentes et vous guidera dans la bonne direction.