Yasser Aboukir, Senior Manager Cyber Risk, et Maxime Verac, Director Cyber Risk chez Deloitte Luxembourg (Photo: Deloitte Luxembourg)

Yasser Aboukir, Senior Manager Cyber Risk, et Maxime Verac, Director Cyber Risk chez Deloitte Luxembourg (Photo: Deloitte Luxembourg)

Au cours des dernières années, la nécessité de réaliser des tests de sécurité s’est considérablement accrue face à la complexité croissante des cyberattaques, aux exigences multiples de conformité, au recours à l’externalisation, et à l’adoption massive des nouvelles technologies pour supporter les activités métiers critiques.

La plupart des cyberattaques exploitent des failles au niveau des applications et infrastructures informatiques, mais profitent également du vecteur humain pour contourner les mesures de sécurité dites « techniques ». Il est donc primordial de pouvoir identifier ces failles afin de les corriger dans les meilleurs délais et éviter leur exploitation par des attaquants malintentionnés. Pour ce faire, différents types d’évaluations ou tests de sécurité, y compris les tests d’intrusion, peuvent être effectués.

  © Deloitte Tax & Consulting SARL

  © Deloitte Tax & Consulting SARL

Pour faire face à ces exigences accrues en matière de tests de sécurité, et plutôt que d’avoir une approche unitaire et dispersée à travers l’entreprise, il est désormais primordial d’établir un véritable programme complet d’évaluation de la sécurité. Un tel programme est essentiel afin de mesurer régulièrement et d’améliorer le niveau réel de cyber résilience de l’organisation.

1)    Les avantages d’un programme d’évaluation de la cybersécurité 

Grâce à un tel programme, la Direction ainsi que les équipes opérationnelles disposent d’un outil essentiel pour mesurer et suivre l’exhaustivité et l’efficacité des mesures de sécurité en place au regard des risques encourus et pouvoir, si nécessaire, lancer des chantiers d’amélioration.

Ce programme doit aussi aider à mieux gérer la conformité aux standards, normes et régulations applicables (ex. TIBER-LU, SWIFT CSP, Target 2, ISO27001, PCI DSS, circulaire CSSF 20/750, etc.), qui exigent toujours plus en matière de tests de sécurité.

Enfin, via une approche globale, les entreprises peuvent optimiser l’investissement et les efforts consacrés aux activités de tests par une rationalisation des priorités, des périmètres, des fréquences, du type et de la profondeur des activités de test de sécurité. Il s’agira notamment de « tester mieux » (et pas nécessairement « plus ») en privilégiant les tests qui permettront d’évaluer et améliorer le fonctionnement effectif de leurs mécanismes de défense ou encore d’identifier des vulnérabilités inconnues.

2)    Comment est-ce que Deloitte peut vous accompagner ?

En premier lieu, nous analysons le contexte et les besoins en matière de tests de sécurité pour définir la stratégie d’évaluation de la sécurité. Ensuite, nous assistons les entreprises dans la conception et la mise en œuvre d’un programme d’évaluation et de test complet et optimisé sur une base annuelle ou pluriannuelle. Ceci inclut la définition de la politique globale des tests (y compris les rôles et responsabilités entre les équipes opérationnelles et les fonctions de contrôle interne), la conception des plans de tests, et enfin la planification des tests avec leur fréquence d’exécution.

  © Deloitte Tax & Consulting SARL

  © Deloitte Tax & Consulting SARL

Enfin nous aidons à l’exécution du plan de tests (par exemple, revue des codes source des applications et des configurations des systèmes, tests d’intrusion, campagnes de phishing, simulations de scénarios réalistes de menaces de type « Red Teaming », etc.), y compris l’élaboration et le suivi des mesure d’amélioration de la sécurité.

Pour plus d’informations, cliquez .