Deuxième tissu économique de France, la région lyonnaise abrite certaines des plus grandes entreprises de l’Hexagone, ce qui en fait une cible privilégiée des cybercriminels. Entre les attaques des groupes de santé, d’hôpitaux ou encore de banques, Lyon a régulièrement fait la une de la presse au cours des 2 / 3 dernières années. D’où l’importance de la sensibilisation aux cyberrisques et du renforcement de l’aspect cybersécurité, qui passe largement par la mise en place de tests d’intrusion. Pourquoi, quand et comment faire un pentest à Lyon ? Eléments de réponse !
Pourquoi faire un pentest à Lyon ?
Pour les raisons invoquées plus haut. Plus précisément, l’importance de faire un pentest à Lyon réside dans le fait qu’un test d’intrusion est un élément central du renforcement de la résilience et du niveau de cybersécurité d’une entreprise, quel que soit son secteur d’activité. Parce qu’il s’agit d’une mise en situation réelle, qui consiste à confronter les protections existantes à de « vraies » attaques, le test d’intrusion ou de pénétration va permettre d’identifier les failles de cybersécurité, mais aussi d’y apporter les correctifs qui s’imposent, avant qu’il ne soit trop tard !
Si vous êtes une entreprise basée à Lyon ou aux alentours, la principale raison qui justifie le recours à un pentesteur lyonnais est de pouvoir vous protéger des cyberattaques grâce à l’expertise d’un spécialiste local. Faire appel à une entreprise experte proche de chez vous permettra de cerner vos objectifs ainsi que votre contexte d’activité. Si nécessaire, une équipe redteam pourra même être déployée pour tenter des intrusions physiques dans vos locaux en plus de tentatives de pénétration de votre système informatique.
Dans un contexte de passage au tout digital, une transformation qui concerne la quasi-totalité des entreprises, la cybersécurité devient un enjeu clef pour l’activité des entreprises, leur réputation digitale et parfois même leur survie ! D’où la nécessité de la mise en place d’une politique globale de cybersécurité, tout en implémentant les protections et en documentant les procédures. En cela, le test d’intrusion est un outil indispensable lorsqu’il s’agit d’identifier les risques et d’y apporter des réponses efficaces et immédiates.
Gage de sérieux
Il y a plusieurs contextes d’ordre commercial qui justifient le recours à un pentest à Lyon. Gage de sérieux, le test d’intrusion assoit l’autorité de l’entreprise sur son marché, car il est synonyme d’un niveau de sécurité élevé. Dans un contexte où les acheteurs deviennent de plus en plus exigeants vis-à-vis des questions de cybersécurité, mener des pentests réguliers permet de les rassurer quant au niveau de sécurité de l’entreprise, d’autant plus que les technologies et les produits ont tendance à évoluer rapidement.
Et parce que le climat d’affaires est de plus en plus concurrentiel, avoir un certificat d’audit de sécurité agit en véritable argument commercial en faveur de l’entreprise, la sécurité étant désormais un facteur de différenciation sur le marché.
Explications et questions fréquemment posées
Dans les grandes lignes, lancer un pentest consiste à faire appel à des hackers éthiques, dont le métier et la mission est de simuler des attaques sur le système d’information de l’entreprise concernée. Tout cela part d’un principe bien défini : ce n’est qu’en mimant les méthodes des « vrais » hackers et en utilisant leurs outils que l’on pourra réellement identifier les failles et les corriger. C’est là la mission d’un pentester : pousser le système à bout, l’objectif ultime étant de minimiser l’exposition au risque.
Pentest : à quoi ça sert, concrètement ?
Tout l’objet d’un pentest est d’identifier et de corriger les failles de sécurité d’une entreprise. Il faut toutefois savoir que lorsqu’on mène un pentest à Lyon, on commence par définir la cible et les conditions du test. Le but est de faire un état des lieux du niveau de sécurité de l’entreprise, en essayant de pirater le système. C’est d’ailleurs pour cette raison que c’est le contexte technique et fonctionnel de l’audit de sécurité qui définit le type de test à mener. En bref, un test de pénétration va s’atteler à lister les failles de sécurité, en les priorisant en fonction du niveau de risque qu’elles présentent. Chaque entreprise de cybersécurité, lyonnaise ou pas, possède sa propre méthodologie de pentest. Néanmoins, si les intitulés des phases peut varier selon les entreprises, elles sont globalement les mêmes pour tout le monde :
1. Phase de reconnaissance
C’est une phase de collecte d’information. Le but étant de simuler une véritable attaque de hacker, les pentesteurs essaient de rester le plus discrets possible. Ils collectent des informations open source et peuvent même aller jusqu’à faire des fouilles de poubelles lors de mission red team en boîte noire par exemple pour récupérer des informations qui leur serviront à lancer des attaques d’ingénierie sociale par exemple.
2. Phase de découverte
Avec les informations collectées précédemment, les pentesters vont cartographier les différents éléments de l’organisation à attaquer. Que ce soit les routeurs, les serveurs, les points d’accès au(x) réseau(x), mais également les logiciels qui tournent sur les différentes machines ainsi que leur version, les ports qui sont ouverts…
Le but étant de trouver des points faibles présentant des vulnérabilités connues.
3. Phase d’exploitation
Une fois cette phase effectuée il s’agit de faire le tri entre les vulnérabilités exploitables et celles qui ne sont pas critiques. Pour finalement arriver à les exploiter et mettre en place une preuve de concept qui permettra de montrer au client la faisabilité d’une attaque exploitant ces vulnérabilités.
Ce seront parfois plusieurs vulnérabilités qui seront combinées pour arriver au plus haut niveau de criticité (dangerosité) possible. Bien évidemment, ces attaques ne seront menées qu’à titre d’exemple et aucune charge utile dangereuse (c’est à dire qu’aucun logiciel ne mettant en péril l’intégrité logique et physique des données) ne sera déployée.
4. Phase de conclusion et de rapport
Au terme d’un test d’intrusion, un rapport est remis à l’entreprise. Ledit rapport dresse une liste des vulnérabilités identifiées, mais aussi la façon de les corriger. A la différence d’un rapport automatisé comme pourrait le faire un scanner de vulnérabilité classique, les rapports de pentest qui vous sont remis ne comprennent pas de faux positifs, proposent des combinaisons de failles en y associant un niveau de criticité et inclue également d’éventuelles failles logiques (c’est à dire un dévoiement du système qui n’est pas forcément basé sur une faille technique).
Vous êtes une entreprise lyonnaise et vous souhaitez lancer un process de certification ? Eh bien sachez que mener un pentest à Lyon est une étape clef de ce processus. En effet, chaque certification a ses spécificités, qu’il s’agisse d’ISO 27001, SOC2, PCI-DSS ou encore SWIFT pour certains établissements bancaires. Dès lors, faire un test d’intrusion va permettre de s’assurer de l’efficacité des protections mises en place, mais aussi de montrer que l’entreprise ne se contente pas des aspects théoriques de la certification.
Quand faire un pentest ?
Quel est le meilleur moment pour mener un pentest ? D’emblée, il faut comprendre qu’un pentest n’est pas une activité ponctuelle, pour la simple raison que les cybermenaces évoluent constamment. Chaque jour, de nouvelles vulnérabilités sont découvertes, d’où l’importance de mettre en place un cadre, une stratégie de test d’intrusion. Ainsi, les pentests doivent être effectués chaque fois que l’une de ces situations se présentent :
- Ajout de nouveaux composants ou applications à l’infrastructure informatique de l’entreprise ;
- Modifications ou mises à niveau importantes apportées à l’infrastructure, sans qu’il n’y ait forcément d’ajout ;
- Application de correctifs de sécurité aux logiciels antivirus ou aux pare-feu ;
- Avant une acquisition ou une fusion.
On ne vous apprend probablement rien en vous disant que presque toutes les entreprises sont confrontées à de telles situations au cours de leurs activités, ce qui rend les tests d’intrusion essentiels au maintien d’un bon niveau de sécurité. Par ailleurs, le meilleur moment pour effectuer un pentest à Lyon est juste avant la mise en production d’un système particulier, et non en phase de développement du produit, car le système ne sera plus en état de changement. Si l’entreprise lance le pentest en phase de développement ou de déploiement du produit, elle risque de passer à côté de vulnérabilités importantes. Les tests d’intrusion sont également importants dans des situations inhabituelles ou rares, par exemple lorsque l’entreprise change de site ou lorsqu’un autre bureau est ajouté au réseau de l’entreprise.
A quelle fréquence mener un pentest à Lyon ?
Plusieurs experts du domaine recommandent des pentests annuels ou semestriels pour la plupart des entreprises. Mais en vérité, la fréquence idéale pour mener un pentest dépend de plusieurs facteurs (taille de l’entreprise, exposition potentielle aux vecteurs d’attaque, secteur d’activité, environnement réglementaire spécifique au secteur…). Un pentest annuel peut effectivement réduire les risques de sécurité de l’entreprise. Cependant, les entreprises ont aujourd’hui tendance à apporter des changements rapides à leurs systèmes. Par conséquent, elles devraient idéalement effectuer des pentests trimestriels ou immédiatement après le déploiement du produit, suite à un changement dans une application ou ses technologies sous-jacentes. En règle générale, il est préférable de répartir les tests d’intrusion tout au long de l’année, en effectuant un pentest externe trimestriel et un test interne semestriel.
« Lise Charmel » en redressement judiciaire suite à une cyberattaque
Voici une autre raison qui devrait vous inciter à mener des pentests à Lyon de manière continue : les failles de sécurité peuvent pousser une entreprise à mettre la clef sous le paillasson. C’est ce qui est arrivé à « Lise Charmel », une entreprise lyonnaise victime d’une cyberattaque qui l’a menée en redressement judiciaire. Le groupe de lingerie chic a en effet fait les frais d’une cyberattaque de grande ampleur qui l’a fortement affaibli, alors que le système informatique de l’entreprise est au cœur de son activité. D’autant plus que l’attaque s’est déroulée au pire moment possible, juste avant les fêtes de fin d’année : « Nous nous sommes retrouvés avec tous nos fichiers, toutes nos données, tous nos postes cryptés en France et à l’étranger. On a été en état de choc pendant plusieurs semaines. C’était terriblement violent », déclarait le directeur général de Lise Charmel. Tout est dit !
A venir : le site Internet-Lyon va prochainement mettre à jour cet article pour vous fournir une liste de prestataires lyonnais qualifiés pour effectuer des pentests. Donc nous vous donnons rendez-vous rapidement sur cette même page !
Entreprises lyonnaises : cible privilégiée des cyberattaques ?
Au vu de l’actualité et de la réalité du tissu économique lyonnais, la réponse est oui. Car il faut rappeler que Lyon et sa région abritent plus de 140 000 entreprises, créant environ 16 000 emplois par an, ce qui en fait le 2e tissu économique en France, ce qui justifie encore plus le recours au pentest à Lyon, de manière régulière. En effet, les entreprises de la région sont souvent la cible de cyberattaques, avec une augmentation notable de ces dernières, enregistrée entre 2020 et 2021, comme en témoigne la cyberattaque contre LDLC, pour ne citer que celle-ci.
Dans la région Auvergne-Rhône-Alpes, les structures médico-sociales sont la cible privilégiée des cybercriminels, avec plus de 60 attaques recensées en 2020 sur ce type de structures. Car il faut savoir que le secteur de la santé et des sciences de la vie est particulièrement florissant à Lyon, avec 72 500 emplois, ce qui représente 12 % de l’ensemble de l’emploi dans la région. Avec des géants comme CTOI Biotech, Arrow, bioMérieux, Adocia, Enyo Pharma, Erytech Pharma, ou encore Sanofi Pasteur, entre autres, ce secteur est naturellement une cible attractive pour les cybercriminels. A coup de rançongiciels, ces derniers tentent de soutirer des sommes, souvent astronomiques (en phase avec le CA de ces géants de l’industrie de la santé), à ces structures. Récemment, une nouvelle cyberattaque a touché 4 établissements du Groupe Ramsay Santé, dont 3 en Auvergne-Rhône-Alpes.
Des établissements de santé du groupe ont donc été la cible d’une tentative d’intrusion extérieure sur leurs serveurs informatiques, font l’hôpital privé Jean-Mermoz à Lyon. Résultat : certaines interventions chirurgicales ont dû être reportées. Il faut rappeleur qu’en 2019, les 120 établissements en France du Groupe Ramsay ont été paralysés par une cyberattaque d’une ampleur sans précédent, ce qui a impacté leur fonctionnement plusieurs semaines durant.
Il y a également des géants de la chimie sur l’agglomération lyonnaise : Arkema, Total, Rhodia, Solvay, Air Liquide…
Quel que soit le domaine (eCommerce, industrie, pharma, chimie), les entreprises lyonnaises doivent se protéger contre les intrusions. C’est même, pour certaines d’entre elles, une obligation puisqu’elles sont classées OIV (Opérateur d’Importance Vitale) ou OSE (Opérateur de Services Essentiels) et sont soumises à une réglementation plus stricte de part la Loi de Programmation Militaire leur imposant des pentests réguliers.