Avec du temps, des ressources et de la motivation, un pirate peut rentrer dans pratiquement n'importe quel système. À la fin, toutes les procédures et les technologies de sécurité actuellement disponibles ne peuvent pas vous garantir que vos systèmes sont protégés contre les intrusions. Les routeurs peuvent aider à sécuriser les passerelles vers l'internet. Les pare-feu peuvent aider à sécuriser les bords du réseau. Les réseaux privés virtuels peuvent transmettre vos données en toute sécurité dans un flux crypté. Les systèmes de détection d'intrusions peuvent vous prévenir de toute activité malveillante. Cependant, la réussite de chacune de ces technologies dépend d'un certain nombre de variables, y compris :
Les compétences du personnel responsable de la configuration, du contrôle et de la maintenance des technologies.
La capacité d'insérer des correctifs et de mettre à jour des services et des noyaux rapidement et efficacement.
La capacité des responsables de rester vigilants sur le réseau.
Vu l'état dynamique des technologies et des systèmes de données, la sécurisation de vos ressources d'entreprise peut devenir complexe. À cause de cette complexité, il est souvent difficile de trouver des ressources spécialisées pour tous vos systèmes. Alors qu'il est possible d'avoir un personnel avec des connaissances de haut niveau dans de nombreux domaines de la sécurité de l'information, il est plus difficile de garder les employés qui sont spécialistes dans plus de quelques sujets. Cela vient principalement du fait que chaque sujet en sécurité de l'information demande une attention et une concentration constantes. La sécurité de l'information ne reste pas en place.
Supposez que vous administrez un réseau d'entreprise. De tels réseaux sont couramment constitués de systèmes d'exploitation, d'applications, de serveurs, de contrôleurs de réseau, de pare-feu, de systèmes de détection d'intrusions et bien plus encore. Imaginez maintenant d'essayer de rester à jour pour chacun d'entre eux. Vu la complexité des environnements réseaux et logiciels d'aujourd'hui, les exploits et les bogues sont d'une certitude. Rester au courant des correctifs et des mises à jour pour un réseau entier peut s'avérer devenir une tâche décourageante dans une grande société avec des systèmes hétérogènes.
En combinant les besoins d'expertise avec la tâche de rester au courant, il devient inévitable que des incidents négatifs se produisent, que les protections de systèmes soient brisées, que des données soient corrompues et que le service soit interrompu.
Pour augmenter les technologies de sécurité et aider à protéger les systèmes, les réseaux et les données, essayez de penser comme un pirate et mesurez la sécurité des systèmes en vérifiant leurs faiblesses. Des évaluations de vulnérabilités préventives sur vos propres systèmes et ressources réseaux peuvent révéler des problèmes possibles qui peuvent être traités avant qu'un pirate ne les trouve.
Une évaluation des vulnérabilités est une analyse interne de votre sécurité de réseau et de système ; ses résultats indiquent la confidentialité, l'intégrité et la disponibilité de votre réseau (comme expliqué dans la Section 1.1.4). Une évaluation des vulnérabilités commence normalement par une phase de reconnaissance durant laquelle les données importantes sur les systèmes et les ressources cibles sont rassemblées. Cette phase amène ensuite à la phase de préparation du système, par laquelle la cible est essentiellement contrôlée contre toutes les vulnérabilités connues. La phase de préparation aboutit à la phase de rapports, où les conclusions sont classifiées en catégories de risques élevés, moyens ou bas ; et les méthodes pour améliorer la sécurité (ou réduire le risque de vulnérabilités) de la cible sont examinées.
Si vous deviez effectuer une évaluation des vulnérabilités de votre maison, vous vérifieriez sûrement chaque porte pour voir si elles sont bien fermées et verrouillées. Vous vérifieriez également chaque fenêtre, vous assurant qu'elles sont bien fermées. Le même concept s'applique aux systèmes, réseaux et données électroniques. Les utilisateurs malveillants sont les voleurs et les vandales de vos données. Concentrez vous sur leurs outils, leur mentalité et leurs motivations et vous pourrez alors réagir rapidement à leurs actions.
| Précédent | Sommaire | Suivant |
| Évaluation de votre sécurité | Niveau supérieur | Définition des évaluations et des essais |