Quand les pirates veillent à la sécurité informatique
Les pare-feu sont virtuels. Les risques, bien réels. EOS renforce la sécurité de ses données grâce à des « tests d’intrusion », au cours desquels des pirates imitent une véritable attaque dirigée contre l’entreprise.
Si vous discutez avec Gunnar Woitack, expert en sécurité informatique, de la manière dont le groupe EOS se protège contre les pirates, il finira forcément par évoquer les frères Grimm. « C’est une course entre le lièvre et le hérisson », explique-t-il. « Nous dressons des barrières pour repousser les assaillants, qui développent sans cesse de nouvelles techniques afin de les briser. »
Gunnar Woitack s’occupe de la sécurité informatique du groupe EOS depuis janvier 2015. Son rôle de responsable de la sécurité des systèmes d’information chez EOS Technology Solutions en fait en quelque sorte le « gardien des joyaux de la couronne ». Certains groupes, tels que Volkswagen, veillent jalousement sur leurs brevets automobiles ; chez EOS, les ressources les plus précieuses sont les informations sur les débiteurs défaillants.
Comme dans presque toutes les entreprises, les données relatives aux clients et autres parties prenantes d’EOS sont stockées sur les serveurs du groupe. Gérer ces données de manière responsable, en interne, et les protéger contre les attaques et les usages abusifs de l’extérieur sont des priorités absolues. Après tout, c’est sur cette base que repose la confiance placée en EOS.
Les cyberattaques fournissent des informations sur la sécurité informatique
Pour protéger au mieux les données de plus de 60 sociétés EOS dans 26 pays, Gunnar Woitack engage régulièrement des experts du piratage. Ils sondent les pare-feu d’EOS à la recherche de failles de sécurité. Cette année encore, ces « pirates en col blanc », comme il les appelle, réaliseront un test d’intrusion dit « en boîte noire ». Pour ce faire, quelques centaines d’adresses IP d’EOS seront remises à la société partenaire. « Ce genre de test dure plusieurs heures », explique Gunnar Woitack. « Et tout est largement automatisé. »
Pour les données des entreprises, la sécurité absolue n’existe pas.
De surcroît, EOS organise régulièrement des tests en boîte grise et en boîte blanche, soit des attaques informatiques avec plus de « visibilité » sur les coulisses du système. On ouvre aux pirates l’accès aux données et/ou au code source des applications Web. Pour utiliser l’analogie du cambrioleur, cela revient à leur remettre la clé de la maison, voire son plan détaillé ainsi que des informations sur le système d’alarme.
Malgré ces tests d’intrusion rigoureux, EOS ne se laisse pas aller à un sentiment de sécurité illusoire, insiste Gunnar Woitack. Car en définitive, personne n’est jamais totalement protégé : « La sécurité absolue n’existe pas. Même la CIA et le FBI sont piratés. »
La sécurité absolue n’existe pas. Même la CIA et le FBI sont piratés
Les attaques démontrent que le taux d’erreur est en recul.
D’une manière générale, il semble que la sécurité des systèmes d’EOS liés à Internet se soit renforcée au fil des années. Le taux d’erreur lors des tests d’intrusion diminue, tandis que la sensibilité du personnel aux questions de sécurité des données ne cesse de se renforcer, explique Gunnar Woitack. Il ajoute : « les essais réguliers orientent l’attention dans la bonne direction ».
Et les experts sont certains d’une chose : dans dix ans, les simulations d’attaques seront toujours un moyen probant d’identifier les faiblesses du système de sécurité informatique d’une entreprise. Car la course entre le lièvre et le hérisson n’est pas terminée. « Mais nous travaillons sans relâche sur la question », rassure Gunnar Woitack. « Nous prenons les risques très au sérieux, et naturellement, nous investissons beaucoup d’argent dans la sécurité. »
Boîte noire, boîte grise, boîte blanche... Tout cela vous paraît obscur ? En guise d’introduction au sujet de la sécurité informatique, Gunnar Woitack recommande notamment cet article :