Le numérique est devenu central pour le secteur de la santé. Cela concerne toutes les activités, des admissions de patients à la gestion des prescriptions jusqu’au contrôle de l’environnement matériel. Dans ce contexte, les risques de cybersécurité se sont également répandus. Effectuer un audit de sécurité permet d’évaluer concrètement les risques pour chaque établissement ou entreprise dans le domaine de la santé.

Voici un panorama des enjeux de cybersécurité que nous rencontrons fréquemment et qui peuvent être des points d’attention lors d’un pentest. Si la protection des données est un enjeu majeur, d’autres risques liés au matériel et à l’infrastructure informatique sont aussi des points de préoccupation récurrents.

Les fintech sont des entreprises généralement plus exposées aux risques et plus matures que la moyenne en matière de cybersécurité. La nature de leurs activités implique la nécessité de prendre en compte les risques de fraude et de cyberattaques dès la conception d’un nouveau produit.

Le pentest vient ensuite confronter les choix de sécurité et les protections mises en place avec la menace réelle. Selon la nature du produit (solution de paiement, plateforme de crédit, gestion bancaire, private equity, etc.), les enjeux métiers seront différents. Voici cependant quelques détails sur les principaux risques et les priorités de pentest les plus fréquentes d’après notre expérience auprès de fintech.

Réaliser un pentest peut faire partie de vos objectifs, sans que ce soit la priorité du moment. Ceci pour différentes raisons : des développements sont en cours, une migration est prévue, un budget n’est pas encore alloué, etc. Face aux différentes contraintes et priorités qui doivent être respectées, quel est le bon moment pour faire un pentest ?

Nous allons présenter diverses situations dans lesquelles la question se pose et vous donner des clés pour identifier le moment opportun pour réaliser un test d’intrusion.

Actuellement, depuis mars 2018, les certificats SSL/TLS (plus communément aussi appelés certificats HTTPS) peuvent avoir une durée maximale de validité de 825 jours. 
Mais en mars 2020, Apple a annoncé qu’ils autoriseront pour Safari seulement les certificats SSL/TLS d’une durée maximale de 398 jours (13 mois). Et Google suivra cette voie (annoncé par le président émérite du CA/B Forum sur Twitter le 11 juin dernier).

En juillet, Mozilla a également confirmé réduire la durée des certificats.

Il existe plusieurs types d’audits de sécurité informatique : certains concernent des aspects organisationnels, d’autres concernent une analyse technique, d’autres encore sont des tests d’intrusion.
Tous ces aspects sont complémentaires, afin d’analyser au mieux le niveau de sécurité d’une organisation. Dans cet article, nous allons volontairement laisser de côté les aspects organisationnels afin de nous focaliser sur les aspects techniques.

Enjeux de cybersécurité pour les entreprises en 2020

La tendance actuelle est au renforcement des exigences sécurité des clients, partenaires et investisseurs. Les audits de sécurité se sont démocratisés aux petites et moyennes entreprises, pour qui ils représentent un passage obligé afin de pouvoir collaborer sur des sujets IT avec des grandes entreprises. En effet, les grands-comptes intègrent quasi systématiquement des demandes de rapport d’audits de sécurité dans leurs processus d’achats. L’entrée en application du RGPD depuis 2 ans a aussi permis aux entreprises de prendre conscience des enjeux de sécurité des données, dans des secteurs d’activité où la prise en compte des risques était auparavant peu élevée. Les certifications en sécurité (ISO 27001, HDS, PCI-DSS, SOC2…) sont de plus en plus plébiscitées par les entreprises de petite et moyenne taille, afin de se différencier et de faire de la sécurité un axe de qualité.

Réaliser un pentest (test d’intrusion) a un coût. Quand on interroge des sociétés sur le budget qu’elles y ont consacré, on entend souvent « entre 10k€ et 20k€ », parfois un peu plus ou un peu moins. Cependant, il n’y a pas vraiment de prix standard pour ce type de prestation : tout dépend de la complexité fonctionnelle de la cible, du périmètre et du niveau de profondeur souhaité pour les tests.

Si l’objectif principal est de pouvoir montrer qu’un pentest a été réalisé il y a moins de 6 mois, il est possible de faire des concessions pour respecter un budget extrêmement limité.

Abraham Lincoln (répétant un bucheron) aurait répondu à la question : que feriez-vous si vous aviez seulement six heures pour abattre un arbre ? Je passerai les quatre premières à affûter ma hache.

Qu’est-ce que cela nous dit ? Que la préparation est la clé.
Vous ne pouvez pas protéger ce que vous ne connaissez pas, c’est pourquoi connaitre sa surface d’attaque est le premier pas essentiel pour la protéger efficacement.

Une fois que vous avez décidé de faire un pentest (test d’intrusion), vous pouvez vous demander s’il doit cibler votre environnement de production.

Selon les risques, il peut être justifié de conduire l’audit de sécurité sur l’environnement de production, ou sur un environnement de test. Vous trouverez ci-dessous un résumé des avantages et des inconvénients de chacune de ces possibilités.

25 pages pour connaître les vulnérabilités courantes et exploitables sur les technologies sans fil de l’IoT, ainsi que les moyens pour les contrer ou pour réduire les risques.