Des «bons» hackers pour plus de sécurité

Kim Berrendorf
4 septembre 2020
La sécurité de l’information est un pilier essentiel de notre création de valeur et la base d’une gestion d’entreprise durable. Outre des formations relatives à la sécurité informatique et de l’information à l’attention de notre personnel, le répertoire de sécurité de la Baloise comprend aussi des tests d’intrusion ciblés menés par des hackers.

La sécurité de l’information ne se limite pas aux logiciels ou au matériel

La sécurité de l’information comprend bien plus que des investissements dans le matériel ou les logiciels. En effet, pour être efficace, une telle stratégie englobe à parts égales la technologie, les processus et le personnel. La sécurité informatique et la conscience des collaborateurs pour ce thème représentent des domaines partiels de la sécurité de l’information. Une entreprise peut certes disposer de la technologie adaptée, des failles apparaîtront si les processus ne se déroulent pas correctement ou si les collaborateurs n’utilisent pas la technologie comme il se doit. Ainsi, il vaut la peine d’identifier les défaillances et d’y remédier en continu.

Identifier et remédier aux failles de sécurité avec de «bons» hackers

it-security

Chaque année, la Baloise effectue plusieurs tests d’intrusion. Ces cyberattaques sont menées par une entreprise indépendante renommée et ses «bons hackers». L’objectif consiste à identifier à temps les lacunes de sécurité dans l’infrastructure informatique de la Baloise et de prendre les mesures de sécurité qui s’imposent. Rien n’est laissé au hasard. Le processus est organisé à l’échelle du groupe dans le cadre d’un plan pluriannuel et standardisé, de la planification à l’élimination des points faibles. Un test d’intrusion se termine par un rapport détaillé.

De tels tests effectués à intervalles réguliers nous permettent de rendre nos systèmes et applications informatiques de plus en plus sûrs et ainsi de garantir la meilleure protection possible aux données de nos clients.

Déroulement d’une cyberattaque bienveillante

Les «bons hackers», nommés aussi «white hat hackers», procèdent de manière similaire à leurs confrères malveillants, que l’on nomme «black hat hackers». Ils commencent par réunir des informations sur le système ou l’application qu’ils souhaitent attaquer ou tester. On parle alors de reconnaissance. Les hackers tentent souvent de contacter directement les collaborateurs de l’entreprise concernée, par exemple par e-mail ou par téléphone, et ainsi d’obtenir les informations souhaitées («ingénierie sociale»).

Les informations acquises lors de la phase de reconnaissance sont ensuite analysées afin d’identifier les points faibles éventuels. Le répertoire des pentesters comprend aussi des outils techniques. Les white hat hackers qui ont décelé des failles tentent de les exploiter. Chaque point faible, que ce soit dans le système d’exploitation, les applications ou le code source, est découvert par le biais de cette procédure systématique.

Cyberattaques «bienveillantes» et «malveillantes»

hacking

Contrairement aux black hat hackers, qui profiteraient des failles pour étendre l’attaque à des fins criminelles, les experts en sécurité mandatés analysent le potentiel et livrent un rapport détaillé. Grâce à ces résultats, notre service informatique est en mesure de remédier aux lacunes. Nous sommes ainsi parés pour l’avenir.

Les cyberattaques peuvent être lourdes de conséquences pour toute entreprise et donc avoir des répercussions négatives sur diverses parties prenantes de celle-ci. Une cyberattaque nécessite un certain savoir-faire, mais n’est pas onéreuse; il est donc capital d’y recourir de manière standardisées et à intervalles réguliers pour que les lacunes sécuritaires soient immédiatement comblées.

Les cibles sont nombreuses

Les systèmes d’information ne sont pas les seules victimes potentielles des cyberattaques. Tout appareil relié à un réseau de communication, que ce soit par câble ou par radio, par exemple une machine à café connectée à Internet, un Thermomix ou un babyphone, peut être hacké. Pour cela, l’aide involontaire d’un collaborateur n’est pas toujours nécessaire; la présence d’une faiblesse dans une application ou dans un système informatique, ou encore une erreur de configuration, suffisent. 

En collaboration avec des white hat hackers et avec le personnel ou au sein du service informatique, la sécurité informatique est un travail d’équipe et contribue à ce que nous puissions offrir une plus-value à nos clients, aujourd’hui comme demain.

baloise.com/durability

Nous créons une valeur durable.