Analyse de vulnérabilités informatiques

L'évaluation des vulnérabilités est une activité au cours de laquelle les composants informatiques réseaux, systèmes et applicatifs sont "scannés" dans le but d'identifier la présence de vulnérabilités connues. Des outils de sécurité automatiques sont utilisés, mais le testeur fait également appelle à ses compétences particulières pour vérifier la véracité des résultats fournit par les outils automatiques. En effet, ceux-ci génèrent fréquemment des "faux-positifs". Il convient également que le testeur réalise certaine tâche de manière "manuelle" pour ne pas "agresser" les systèmes informatiques en production.

Une vulnérabilité a elle seule n'est pas un réel problème. En revanche, une menace qui exploiterait une vulnérabilité deviendrait un incident de sécurité. Quand une vulnérabilité est exploitée par une personne malveillante ou un virus, les conséquences peuvent être lourdes : indisponibilité du système d'information, arrêt de production, vol ou perte d'information sensible, déni de service, etc...

L'analyse de vulnérabilités est en quelque sorte une analyse de risques à un niveau technologique. Elle est à défférencier d'une analyse de risques "système d'information", normalisée par le standard ISO/IEC 27005. Toutefois, la méthode est similaire.

Une évaluation de vulnérabilité est plus rapide à réaliser qu'un test de pénétration. Il permet à l'entreprise de pendre des mesures de sécurité immédiates en fonction des risques auxquelles elle s'expose. En effet, le rapport de vulnérabilité (le livrable) "classe" les risques selon leur gravité. C'est à dire en fonction de leurs conséquences sur l'entreprise et selon leurs probabilités d'occurrence.

L'analyse de vulnérabilité en quelques mots :

  • Votre parc informatique présentent-ils des faiblesses ?
  • Comment un pirate peut-il s'introduire dans vos réseaux ?
  • Quelles actions malveillantes pourrait-il perpétrer ? Vol d'information ? Destruction ? Utiliser vos infrastrcutures pour attaquer d'autres entreprise ?
  • Vos mots de passe sont-ils sécurisés ?
  • Vos données stratégiques sont-elles en sûreté ?