3 avril 2023

Par Stéphane Delhommeau, responsable des services d’hébergement de Proginov

Caméra de surveillance

Proginov a récemment fait réaliser un test d’intrusion physique, l’occasion de rappeler à tous le bien-fondé de cet exercice, et pas seulement pour les hébergeurs de données comme Proginov.

Pourquoi réaliser un test d’intrusion physique ?

On le répète souvent, le point d’entrée des cyberattaques passe par des e-mails de phishing auprès des salariés de la société. Lors des attaques plus sophistiquées, les hackers tentent de s’introduire dans les locaux, afin de poser un matériel équipé d’une connexion 4G sur le réseau de l’entreprise (souvent un petit équipement qui passe inaperçu) par lequel ils vont tenter de d’intercepter des informations, notamment les identifiants administrateurs.

L’exercice se justifie si les serveurs sont chez vous, mais également si vous faites héberger vos données. C’est l’occasion de tester vous-mêmes l’accès à celles-ci, depuis vos sites.

Toutes les entreprises sont concernées, car comme on peut le constater, les attaques sur les PME sont en augmentation, et de plus en plus sophistiquées. Aussi, faire réaliser un test d’intrusion par une entreprise spécialisée pourra mettre le doigt sur les vulnérabilités de vos sites et sera l’occasion de faire de la pédagogie en interne sur le sujet.

Quels sont les objectifs d’un test d’intrusion ?

  1. Contrôler la sécurité d’accès physique aux bâtiments
  2. Tester la capacité d’un inconnu à s’y introduire
  3. Connecter un équipement informatique permettant ensuite de s’introduire sur le réseau à distance et de voir toutes les informations qu’il leur sera possible de récupérer
  4. Vérifier la réaction des collaborateurs (et des agents de sécurité, s’il y a)

Quelques scénarios d’intrusion possibles

Moyens d’accès physiques

  • Prétexte d’oubli de badge à l’intérieur de l’entreprise
  • Prétexte d’intervention dans l’entreprise via l’usurpation d’identité d’un fournisseur
  • Accès par des portes secondaires, par des parkings souterrains, des fenêtres ouvertes…
  • Contournement d’angles morts de vidéosurveillance
  • Tentative d’effraction de serrures faibles
  • Etc.

Recueil de données

  • Pose d’un mouchard sur un poste de travail
  • Prise de photos d’identifiants notés sur des postes par exemple
  • Pose d’un équipement de piratage sur une prise réseau
  • Etc.

Quels enseignements en tirer ?

Quoi qu’il arrive les enseignements seront bénéfiques pour votre entreprise, qu’il s’agisse d’identifier vos points forts, de pointer les points faibles afin de mettre en place des mesures correctives, ou même simplement au travers de la communication que vous pourrez faire à cette occasion en interne. En effet, la sensibilisation passe de toute façon par la répétition du message pour que les collaborateurs adoptent des réflexes aussi bien en matière de sécurité physique que de bonnes pratiques sur leur PC.

Une chose est sûre, même lorsque que l’on estime avoir bien travaillé la question, le regard extérieur d’une entreprise spécialisée dans ce genre de test, apporte de véritables pistes d’amélioration.