Pour éviter de graves violations et des atteintes à la réputation, les tests d’intrusion constituent un élément essentiel de la réalisation de l’objectif de NIS2. C’est la mission de RedSystem

« Les tests d’intrusion sont une pierre angulaire de la cyber-résilience », martèle Jordan Saint-Ghislain, Cybersecurity Incident Response Manager, Redsystem.

« En simulant des cyberattaques, nos tests d’intrusion révèlent les vulnérabilités d’une infrastructure, offrant ainsi des informations inestimables sur les failles de sécurité potentielles », explique le partenaire de cette entreprise du tournaisis créée en août 2020 par Giannino Cuignet et Mathieu Clicq. Redsystem aborde notamment NIS2 à travers des tests d’intrusion « red team » qui ont pour but d’évaluer la sécurité globale d’une entreprise en mettant à l’épreuve ses différents moyens de protection, qu’ils soient physiques, humains, organisationnels et informatiques.

« NIS2 impose de nouvelles obligations, notamment en matière de gestion des incidents, de gestion des risques, de sécurité de la chaîne d’approvisionnement, de chiffrement et de divulgation des vulnérabilités. Il s’agit donc de tout vérifier, poursuit Jordan Saint-Ghislain. C’est capital. NIS2 impose aux entreprises concernées de respecter un processus de signalement en deux étapes pour les incidents de sécurité, accorder une attention particulière à la formation de leurs décideurs à la gestion des risques, et mener régulièrement des tests et audits de sécurité pour évaluer l’efficacité de leurs mesures de sécurité. De plus, elles devront effectuer des travaux de diligence raisonnable sur leur chaîne d’approvisionnement… »

Campagne « red team »

Les tests d’intrusion sont l’un des meilleurs moyens d’y parvenir, car ils testent les mesures jusqu’à leurs limites en utilisant la logique et les compétences déployées par les acteurs malveillants du monde réel.

Pour éviter de graves violations et des atteintes à la réputation, les tests d’intrusion constituent un élément essentiel de la réalisation de l’objectif de NIS2.

Comme une véritable attaque ciblée, une campagne « red team » se déroule en plusieurs phases soigneusement préparées et pouvant atteindre tous les actifs de l’entreprise : intrusion physique dans les locaux, ingénierie sociale contre les employés, intrusion via des vulnérabilités réseau ou système et exploitation de failles dans les applications.

« Les intérêts à cette prestation sont doubles, résume Jordan Saint-Ghislain, qui a acquis personnellement une solide expérience avec la première version de NIS : évaluer le niveau de sécurité de votre système d’information de manière générale et évaluer les actions de votre équipe sécurité ou de votre SOC, face à la détection d’intrusions, quelle qu’elle soit. »

L’offre de solutions techniques et de conseil de Redsystem permet d’accompagner les organisations dans leur mise en conformité autour de la gouvernance, la détection, la réponse ainsi que la sécurisation et le contrôle des actifs et des périmètres. Première étape : mettre en place une stratégie de sécurité en hiérarchisant les investissements. Ensuite, accompagner dans la mise en place de procédure et processus. L’analyse des vulnérabilités sur le réseau, les ressources et la chaîne d’approvisionnement permettra, dans la foulée, de réduire la surface d’attaque. Enfin, à travers ses tests d’intrusion, Redsystem testera la robustesse de la défense, détectera les menaces en cours ou passées et y répondra.

Documentation et rapports détaillés

« Les tests d’intrusion sont l’un des meilleurs moyens d’y parvenir, car ils testent les mesures jusqu’à leurs limites en utilisant la logique et les compétences déployées par les hackers du monde réel. » A entendre Jordan Saint-Ghislain, c’est clairement une approche proactive et systématique pour identifier et atténuer les vulnérabilités des réseaux et systèmes. « Nos tests aident les organisations à s’aligner sur l’accent de NIS2 sur la gestion des risques. »

Notons encore que la gestion des vulnérabilités basée sur les risques comprend également une documentation et des rapports détaillés sur les vulnérabilités identifiées, leurs risques associés et les mesures prises pour y remédier. Ces informations sont essentielles pour les exigences de déclaration d’incidents de NIS2.