La sécurité de l’information comprend bien plus que des investissements dans le matériel ou les logiciels. En effet, pour être efficace, une telle stratégie englobe à parts égales la technologie, les processus et le personnel. La sécurité informatique et la conscience des collaborateurs pour ce thème représentent des domaines partiels de la sécurité de l’information. Une entreprise peut certes disposer de la technologie adaptée, des failles apparaîtront si les processus ne se déroulent pas correctement ou si les collaborateurs n’utilisent pas la technologie comme il se doit. Ainsi, il vaut la peine d’identifier les défaillances et d’y remédier en continu.
Chaque année, la Baloise effectue plusieurs tests d’intrusion. Ces cyberattaques sont menées par une entreprise indépendante renommée et ses «bons hackers». L’objectif consiste à identifier à temps les lacunes de sécurité dans l’infrastructure informatique de la Baloise et de prendre les mesures de sécurité qui s’imposent. Rien n’est laissé au hasard. Le processus est organisé à l’échelle du groupe dans le cadre d’un plan pluriannuel et standardisé, de la planification à l’élimination des points faibles. Un test d’intrusion se termine par un rapport détaillé.
De tels tests effectués à intervalles réguliers nous permettent de rendre nos systèmes et applications informatiques de plus en plus sûrs et ainsi de garantir la meilleure protection possible aux données de nos clients.
Les «bons hackers», nommés aussi «white hat hackers», procèdent de manière similaire à leurs confrères malveillants, que l’on nomme «black hat hackers». Ils commencent par réunir des informations sur le système ou l’application qu’ils souhaitent attaquer ou tester. On parle alors de reconnaissance. Les hackers tentent souvent de contacter directement les collaborateurs de l’entreprise concernée, par exemple par e-mail ou par téléphone, et ainsi d’obtenir les informations souhaitées («ingénierie sociale»).
Les informations acquises lors de la phase de reconnaissance sont ensuite analysées afin d’identifier les points faibles éventuels. Le répertoire des pentesters comprend aussi des outils techniques. Les white hat hackers qui ont décelé des failles tentent de les exploiter. Chaque point faible, que ce soit dans le système d’exploitation, les applications ou le code source, est découvert par le biais de cette procédure systématique.
Contrairement aux black hat hackers, qui profiteraient des failles pour étendre l’attaque à des fins criminelles, les experts en sécurité mandatés analysent le potentiel et livrent un rapport détaillé. Grâce à ces résultats, notre service informatique est en mesure de remédier aux lacunes. Nous sommes ainsi parés pour l’avenir.
Les cyberattaques peuvent être lourdes de conséquences pour toute entreprise et donc avoir des répercussions négatives sur diverses parties prenantes de celle-ci. Une cyberattaque nécessite un certain savoir-faire, mais n’est pas onéreuse; il est donc capital d’y recourir de manière standardisées et à intervalles réguliers pour que les lacunes sécuritaires soient immédiatement comblées.
Les systèmes d’information ne sont pas les seules victimes potentielles des cyberattaques. Tout appareil relié à un réseau de communication, que ce soit par câble ou par radio, par exemple une machine à café connectée à Internet, un Thermomix ou un babyphone, peut être hacké. Pour cela, l’aide involontaire d’un collaborateur n’est pas toujours nécessaire; la présence d’une faiblesse dans une application ou dans un système informatique, ou encore une erreur de configuration, suffisent.
En collaboration avec des white hat hackers et avec le personnel ou au sein du service informatique, la sécurité informatique est un travail d’équipe et contribue à ce que nous puissions offrir une plus-value à nos clients, aujourd’hui comme demain.