Test d'intrusion ISO 27001

IT Governance est une Entreprise CREST fournissant des services de test d'intrusion et de scanning des faiblesses suivant les bonnes pratiques.

Cette page vous fournit une introduction rapide sur le concept de test d'intrusion, vous explique son lien avec la norme ISO 27001 et vous propose une présentation des produits et services pouvant vous aider à trouver et à réparer vos faiblesses en matière de sécurité de l'information afin que vous puissiez obtenir et conserver votre certification ISO 27001.

Discuter avec un expert

Qu'est-ce qu'un test d'intrusion ?

Les cyber-attaques représentent un risque pour toutes les entreprises, quel que soit leur secteur, localisation ou taille. Le test d’intrusion simule une attaque afin de déterminer si votre sécurité internet est adéquate, fonctionne correctement et sera capable de résister à une menace externe.

Un test d’intrusion efficace requiert la simulation d’une attaque contre les mesures de sécurité testées, utilisant souvent un ensemble de méthodes et d’outils, et est mené par un testeur professionnel éthique certifié. Les résultats fournissent une base permettant d’améliorer les mesures de sécurité.

Cliquez ici pour découvrir nos forfaits de tests d'intrusion 


Pourquoi mener un test d'intrusion ?

Le test d’intrusion est un élément essential de tout système de gestion de la sécurité de l’information (ISMS) conforme à la norme ISO 27001, du développement initial en passant par l’entretien et l’amélioration continu.

Le contrôle ISO 27001 A12.6 (Gestion des vulnérabilités techniques) indique que « toute information concernant toute vulnérabilité technique des systèmes d’information en exploitant doit être obtenue à temps, l’exposition de l’organisme aux dites vulnérabilités doit être évaluée et les actions appropriées doivent être entreprises pour traiter le risque associé ».

La nature des actifs de la technologie de l’information indique qu’ils peuvent présenter des vulnérabilités techniques pouvant être exploitées par des attaques externes. Les attaques automatisées et à l’aveugle ciblent les vulnérabilités des équipements informatiques et logiciels sans tenir compte de l’organisation. Ces vulnérabilités comprennent, des logiciels mal protégés, des mots de passe inadéquats, des sites internet mal codés ainsi que des applications mal sécurisées.

Il parait logique de mener un test d’intrusion une fois que vous avez identifié ce que vous souhaitez inclure dans le champ d’application de votre ISMS. Les résultats du test d’intrusion mettront en avant les vulnérabilités ainsi que les menaces pouvant les exploiter et vous permettront ainsi d’identifier les mesures correctives appropriées. Les menaces et vulnérabilités identifiées seront alors un élément clé de votre analyse des risques et les mesures correctives identifiées vous permettront de sélectionner les contrôles appropriés.


Comment le test d'intrusion entre-t-il dans mon projet ISO 27001 ?

Vous trouverez ci-dessous les étapes de votre projet ISMS pour lesquelles le test d’intrusion a contribution significative à apporter :

  • Lors du processus d’évaluation des risques : il permet de découvrir les vulnérabilités de toute adresse IP, applications internet ou appareils et applications internes et les associe aux menaces identifiables.
  • ​Dans le cadre du plan de traitement des risques : il permet de vérifier que les contrôles mis en place fonctionnent comme prévu.
  • Dans le cadre du processus d’amélioration continue : il permet de vérifier que les contrôles fonctionnent toujours correctement et que les nouvelles menaces et vulnérabilités sont identifiées et gérées.

Comment fonctionnent les tests d'intrusion d'IT Governance ?

Une fois que nous avons déterminé ensemble le champ d’application, nous pourrons concevoir un programme de test détaillé prenant compte vos objectifs de sécurité ainsi que les exigences contractuelles, d’activités et liées aux règlementations.

Notre équipe de test exécutera alors les tests validés :

  • Tests externes, se concentrant sur les adresse IP, les applications web et autres services similaires.
  • Tests sur-site, se concentrant sur les appareils – y compris les appareils sans fil – composant votre réseau ainsi que les applications et systèmes d’exploitation disponibles sur ces appareils.

Une fois que nous aurons terminé les tests, nous vous fournirons un rapport documenté et détaillé mettant en avant ce que nous avons pu constater ainsi qu’une évaluation du niveau de sévérité et nos recommandations concernant les mesures correctives appropriées.


Discuter avec un expert

Contactez notre équipe pour discuter plus en détail de la norme ISO 27001 et des tests d'intrusion.

haut