« En matière de sûreté, les tests d’intrusion – également appelés « penetration test » en anglais, ou « pentest » – constituent l’examen roi pour protéger durablement les entreprises et leurs salariés », analyse Eva Georges, responsable du développement de Securitas Risk management.
Concrètement, cette technique consiste à simuler des attaques pour déceler les failles et les vulnérabilités du système de sûreté d’une entreprise. « Les vecteurs d’attaques pouvant être simulés lors des tests sont nombreux et varient d’un client à l’autre », poursuit Eva Georges.
Quelques exemples :
- entrer avec un véhicule aux couleurs d’un prestataire,
- convaincre un employé de nous laisser entrer par la ruse ou la compromission,
- découper le grillage d’une clôture,
- usurper une identité ou voler un badge d’accès,
- etc.
« Comme pour un sportif de haut niveau, un système de sûreté efficace doit être entraîné et testé continuellement » commente Eva Georges.
La preuve par l’exemple
Comment savoir si les moyens mis en œuvre sont réellement efficaces ? Les tests d’intrusion réalisés par Securitas commencent avec l'élaboration, conjointement avec le client, d'un scénario.
Deuxième étape, des consultants de Securitas, non identifiés par les personnels de sécurité du site, sont chargés de s’introduire de manière frauduleuse dans l’enceinte même de l’entreprise.
Le Groupe a récemment réalisé une simulation dans une usine en France. Le résultat est sans appel. Eva Georges explique : « notre consultant est entré sans encombre en se faisant passer pour un livreur, avant d’accéder pendant une heure aux zones confidentielles de production et de stockage des marchandises, aux bureaux administratifs, sans aucun badge et sans jamais être inquiété ».
Guide de préconisations
Cette phase de test donne une image d'ensemble sur l'efficacité des pare-feux humains, technologiques et organisationnels sur le site client.
Securitas évalue les dispositifs de sûreté, identifie les points positifs et les axes d’amélioration. Ensuite, un guide de préconisations et de mesures correctives susceptibles de relever le niveau de sûreté est remis au client.
Nos consultants peuvent également filmer l’ensemble du test via une GoPro. Un montage vidéo sera remis ensuite au client. Parmi ces préconisations figurent par exemple l’obligation de présenter une pièce d’identité avant de pénétrer sur le site, de laisser son badge d’accès apparent, de fermer les bureaux systématiquement lors des pauses‑déjeuners, etc.
« Nous proposons également d’animer une sensibilisation auprès de l’ensemble des collaborateurs pour leur rappeler les règles essentielles de sécurité et de lutte contre les intrusions frauduleuses », conclut Eva Georges.
Ces simulations grandeur nature apportent une réponse sur‑mesure aux besoins d’une entreprise quels que soient son secteur et son activité.