Table des matières:
- Piratage éthique contre audits
- Considérations de stratégie
- Préoccupations liées à la conformité et à la réglementation
Vidéo: Comment devenir un HACKER (éthique) [2019] 2025
Le piratage éthique - qui englobe les tests de pénétration formels et méthodiques, le piratage du chapeau blanc et les tests de vulnérabilité - implique les mêmes outils, astuces et techniques que le piratage. les hackers utilisent, mais avec une différence majeure: le piratage éthique est effectué avec la permission de la cible dans un environnement professionnel.
L'objectif du piratage éthique est de découvrir les vulnérabilités du point de vue d'un pirate malveillant afin de mieux sécuriser les systèmes. Le piratage éthique fait partie d'un programme global de gestion des risques liés à l'information qui permet des améliorations continues de la sécurité. Le piratage éthique peut également garantir que les réclamations des fournisseurs concernant la sécurité de leurs produits sont légitimes.
Piratage éthique contre audits
Beaucoup de gens confondent le piratage éthique avec les audits de sécurité, mais il existe de grandes différences . L'audit de sécurité consiste à comparer les politiques de sécurité d'une entreprise à ce qui se passe réellement. L'objectif de l'audit de sécurité est de valider l'existence de contrôles de sécurité, généralement en utilisant une approche basée sur les risques. L'audit implique souvent l'examen des processus métier et, dans de nombreux cas, peut ne pas être très technique. Tous les audits ne sont pas de ce niveau, mais la plupart sont assez simplistes.
Inversement, le piratage éthique se concentre sur les vulnérabilités qui peuvent être exploitées. Il valide que les contrôles de sécurité n'existent pas ou sont au mieux inefficaces. Le piratage éthique peut être à la fois hautement technique et non technique, et bien que vous utilisiez une méthodologie formelle, il a tendance à être un peu moins structuré que l'audit formel.
Si l'audit continue à avoir lieu dans votre organisation, vous pouvez envisager d'intégrer des techniques de piratage éthique dans votre programme d'audit informatique. Ils se complètent vraiment bien.
Considérations de stratégie
Si vous choisissez de faire du piratage éthique une partie importante du programme de gestion des risques de votre entreprise, vous devez vraiment disposer d'une politique de tests de sécurité documentée. Une telle politique décrit le type de piratage éthique qui est effectué, quels systèmes (tels que les serveurs, les applications Web, les ordinateurs portables, etc.) sont testés et à quelle fréquence les tests sont effectués.
Vous pouvez également envisager de créer un document de normes de sécurité décrivant les outils de test de sécurité spécifiques utilisés et les dates spécifiques de test de vos systèmes chaque année. Vous pouvez répertorier des dates de test standard, par exemple une fois par trimestre pour les systèmes externes et des tests semestriels pour les systèmes internes - tout ce qui fonctionne pour votre entreprise.
Préoccupations liées à la conformité et à la réglementation
Vos propres règles internes peuvent déterminer la façon dont la direction considère les tests de sécurité, mais vous devez également prendre en compte les lois et réglementations nationales, fédérales et internationales qui affectent votre activité.
De nombreuses lois et réglementations fédérales américaines - telles que la Loi sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA), la Loi sur la technologie de l'information sanitaire pour la santé économique et clinique (HITECH), la loi Gramm-Leach-Bliley Les exigences CIP de la North American Electric Reliability Corporation (NERC) et la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) exigent de solides contrôles de sécurité et des évaluations de sécurité cohérentes.
Les lois internationales connexes comme la Loi canadienne sur la protection des renseignements personnels et les documents électroniques, la Directive sur la protection des données de l'Union européenne et la Loi sur la protection des renseignements personnels du Japon ne sont pas différentes. L'intégration de vos tests de piratage éthique à ces exigences de conformité est une excellente façon de respecter les réglementations nationales et fédérales et de renforcer votre programme global de confidentialité et de sécurité.
