Sécurité : Provadys veut améliorer la réaction

C’est début juin que Provadys a lancé une offre de service de sécurité centrée sur la préparation, dans une optique d’amélioration de la résilience. Luc Delpha, directeur de l’offre sécurité de l’information de Provadys, explique être partie d’un constat : « si les entreprises sont conscientes que des attaques vont se produire. Mais elles ne sont pas prêtes à faire face et à réagir au moment où une attaque aura lieu et réussira dans leur contexte ». Alors, certes, ces entreprises qu’il décrit « ont mis les moyens nécessaires pour réduire leur exposition, pour faire en sorte que les vulnérabilités éventuelles de leur infrastructure ne puissent pas être exploitées, mais elles sont rares à avoir prévu la réussite d’une exploitation, d’une agression ».

Dès lors, l’offre de Provadys s’articule autour de deux volets : une évaluation de la capacité de réaction de l’entreprise à une attaque réussie, et un entrainement des équipes à la réaction, afin de « roder les personnes, les moyens et les processus ».

Mais le marché est-il prêt pour ce type d’offres ? Et là, sans surprise, Luc Delpha relève d’importants écarts de maturé dans les entreprises : « certaines n’ont absolument rien en matière de réaction aux attaques, et d’autres ont déjà mis des choses en place et cherchent à se faire accompagner pour aller plus loin ». Mais pour celles qui n’ont rien, « il faut les mettre sur la voie ». D’où le premier volet de l’offre, touchant à l’évaluation.

Mais l’offre de Provadys va plus loin dans l’évaluation, partant d’une base simplement déclarative, dans une première phase, à un audit plus concret dans une seconde, avec par exemple vérification de l’architecture du système d’information et des configurations des dispositifs de sécurité et des équipements de l’infrastructure.

Une troisième phase, de simulation, complète l’ensemble, en s’appuyant sur les équipes de sécurité offensive et de test d’intrusion de Provadys. Côté défense, les équipes du cabinet observent alors les réactions chez son client.

Sans surprise, ces travaux, ou du moins les méthodes mises en œuvre là trouvent un autre débouché : « nous les utilisons aussi lorsque l’on fait des évaluations de risque pour les assureurs, typiquement lorsqu’ils doivent élaborer des propositions pour des clients ou répondre à des appels d’offres ».