{"id":23625,"date":"2026-02-17T12:22:58","date_gmt":"2026-02-17T10:22:58","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23625"},"modified":"2026-02-17T12:22:58","modified_gmt":"2026-02-17T10:22:58","slug":"language-of-risk-key-cybersecurity-terms-for-the-board","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/23625\/","title":{"rendered":"Risques, vuln\u00e9rabilit\u00e9s et confiance z\u00e9ro : les termes cl\u00e9s sur lesquels le RSSI et le conseil d&rsquo;administration doivent s&rsquo;accorder"},"content":{"rendered":"<p>Pour mettre en \u0153uvre des programmes de cybers\u00e9curit\u00e9 efficaces et maintenir l\u2019\u00e9quipe de s\u00e9curit\u00e9 \u00e9troitement int\u00e9gr\u00e9e \u00e0 tous les processus op\u00e9rationnels, le RSSI doit r\u00e9guli\u00e8rement d\u00e9montrer la pertinence de son travail \u00e0 la direction g\u00e9n\u00e9rale. Pour cela, il faut parler le <a href=\"https:\/\/www.kaspersky.fr\/blog\/business-soc-communications\/20095\/\" target=\"_blank\" rel=\"noopener\">langage des affaires<\/a>, mais un pi\u00e8ge dangereux guette ceux qui s\u2019y risquent.\u00a0 Les professionnels de la s\u00e9curit\u00e9 et les cadres sup\u00e9rieurs emploient souvent le m\u00eame vocabulaire, mais pour d\u00e9signer des choses totalement diff\u00e9rentes. Certains termes similaires sont parfois utilis\u00e9s de mani\u00e8re interchangeable. Par cons\u00e9quent, la direction peut ne pas comprendre quelles menaces l\u2019\u00e9quipe de s\u00e9curit\u00e9 tente d\u2019att\u00e9nuer, quel est le niveau r\u00e9el de cyberr\u00e9silience de l\u2019entreprise, ni o\u00f9 le budget et les ressources sont allou\u00e9s. Par cons\u00e9quent, avant de faire des pr\u00e9sentations \u00e9l\u00e9gantes ou de calculer le retour sur investissement des programmes de s\u00e9curit\u00e9, il convient de pr\u00e9ciser ces nuances terminologiques importantes.<\/p>\n<p>En clarifiant ces termes et en \u00e9tablissant un vocabulaire commun, le RSSI et le conseil d\u2019administration peuvent consid\u00e9rablement am\u00e9liorer la communication et, en fin de compte, renforcer la posture globale de l\u2019organisation sur le plan de la s\u00e9curit\u00e9.<\/p>\n<h2>Pourquoi le vocabulaire li\u00e9 \u00e0 la cybers\u00e9curit\u00e9 est important pour la direction<\/h2>\n<p>Les interpr\u00e9tations divergentes des termes ne sont pas seulement une source de d\u00e9sagr\u00e9ments \u2013 leurs cons\u00e9quences peuvent \u00eatre consid\u00e9rables. Un manque de clart\u00e9 peut entra\u00eener\u00a0:<\/p>\n<ul>\n<li>Des investissements mal r\u00e9partis. La direction pourrait approuver l\u2019achat d\u2019une solution <a href=\"https:\/\/www.kaspersky.com\/blog\/zero-trust-transition-practical-advice\/53404\/\" target=\"_blank\" rel=\"noopener nofollow\">confiance z\u00e9ro<\/a> sans se rendre compte qu\u2019il ne s\u2019agit que d\u2019une composante d\u2019un programme global \u00e0 long terme dont le budget est nettement plus important. L\u2019argent est d\u00e9pens\u00e9, mais les r\u00e9sultats attendus par la direction ne sont jamais atteints. De m\u00eame, en ce qui concerne la migration vers le cloud. La direction peut supposer que le passage au cloud transf\u00e8re automatiquement l\u2019ensemble des responsabilit\u00e9s de s\u00e9curit\u00e9 au fournisseur et, par cons\u00e9quent, refuser le budget allou\u00e9 \u00e0 la s\u00e9curit\u00e9 du cloud.<\/li>\n<li>Une acceptation aveugle du risque. Les responsables des unit\u00e9s op\u00e9rationnelles peuvent accepter les risques li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 sans en comprendre pleinement l\u2019impact potentiel.<\/li>\n<li>Un manque de gouvernance. Sans comprendre la terminologie, les dirigeants ne peuvent pas poser les bonnes questions (difficiles) ni r\u00e9partir efficacement les responsabilit\u00e9s. Lorsqu\u2019un incident se produit, les chefs d\u2019entreprise ont souvent tendance \u00e0 penser que la s\u00e9curit\u00e9 incombe enti\u00e8rement au RSSI, alors que ce dernier n\u2019a pas le pouvoir d\u2019influencer les processus op\u00e9rationnels.<\/li>\n<\/ul>\n<h2>Cyberrisques et risques informatiques<\/h2>\n<p>De nombreux dirigeants pensent que la cybers\u00e9curit\u00e9 est une question purement technique qu\u2019ils peuvent confier au service informatique. M\u00eame si l\u2019importance de la cybers\u00e9curit\u00e9 pour les entreprises est incontestable et que <a href=\"https:\/\/commercial.allianz.com\/content\/dam\/onemarketing\/commercial\/commercial\/reports\/allianz-risk-barometer-2026.pdf\" target=\"_blank\" rel=\"noopener nofollow\">les cyberincidents figurent depuis longtemps parmi les principaux risques commerciaux<\/a>, des sondages r\u00e9v\u00e8lent que de nombreuses organisations <a href=\"https:\/\/info.immersivelabs.com\/report-2025-cyber-workforce-benchmark-report\" target=\"_blank\" rel=\"noopener nofollow\">ne parviennent toujours pas \u00e0 impliquer leurs dirigeants non techniques dans les discussions sur la cybers\u00e9curit\u00e9<\/a>.<\/p>\n<p>On a tendance \u00e0 m\u00ealer les risques de s\u00e9curit\u00e9 de l\u2019information aux enjeux informatiques, comme la disponibilit\u00e9 des syst\u00e8mes et la continuit\u00e9 des services.\u00a0 En r\u00e9alit\u00e9, le cyberrisque est un risque strat\u00e9gique li\u00e9 \u00e0 la continuit\u00e9 des activit\u00e9s, aux pertes financi\u00e8res et \u00e0 l\u2019atteinte \u00e0 la r\u00e9putation.<\/p>\n<p>Les risques informatiques sont g\u00e9n\u00e9ralement de nature op\u00e9rationnelle et ont une incidence sur l\u2019efficacit\u00e9, la fiabilit\u00e9 et la gestion des co\u00fbts. La gestion des incidents informatiques est souvent enti\u00e8rement prise en charge par le personnel informatique. Les incidents majeurs li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 ont toutefois une port\u00e9e beaucoup plus large. Ils n\u00e9cessitent l\u2019intervention de presque tous les services et ont des r\u00e9percussions \u00e0 long terme sur l\u2019organisation \u00e0 bien des \u00e9gards, notamment du point de vue de la r\u00e9putation, de la conformit\u00e9 r\u00e9glementaire, des relations avec la client\u00e8le et de la sant\u00e9 financi\u00e8re globale.<\/p>\n<h2>Conformit\u00e9 et s\u00e9curit\u00e9<\/h2>\n<p>La cybers\u00e9curit\u00e9 est int\u00e9gr\u00e9e aux exigences r\u00e9glementaires \u00e0 tout niveau, depuis les directives internationales, telles que la <a href=\"https:\/\/www.kaspersky.fr\/blog\/what-is-nis2-directive\/22050\/\" target=\"_blank\" rel=\"noopener\">NIS2<\/a> et le <a href=\"https:\/\/www.kaspersky.com\/blog\/gdpr-video\/22476\/\" target=\"_blank\" rel=\"noopener nofollow\">RGPD<\/a>, jusqu\u2019aux directives sectorielles transfrontali\u00e8res, telles que la norme <a href=\"https:\/\/fr.wikipedia.org\/wiki\/Norme_de_s%C3%A9curit%C3%A9_de_l'industrie_des_cartes_de_paiement\" target=\"_blank\" rel=\"noopener nofollow\">PCI DSS<\/a>, en passant par les mandats minist\u00e9riels sp\u00e9cifiques. En cons\u00e9quence, la direction des entreprises consid\u00e8re souvent les mesures de cybers\u00e9curit\u00e9 comme des cases \u00e0 cocher pour se conformer aux normes, estimant qu\u2019une fois les exigences r\u00e9glementaires satisfaites, les probl\u00e8mes de cybers\u00e9curit\u00e9 peuvent \u00eatre consid\u00e9r\u00e9s comme r\u00e9solus. Cette mentalit\u00e9 peut d\u00e9couler d\u2019un effort conscient visant \u00e0 minimiser les d\u00e9penses li\u00e9es \u00e0 la s\u00e9curit\u00e9 (\u00ab\u00a0nous ne faisons pas plus que ce qui nous est demand\u00e9\u00a0\u00bb) ou d\u2019une incompr\u00e9hension r\u00e9elle (\u00ab\u00a0nous avons pass\u00e9 avec succ\u00e8s l\u2019audit ISO 27001, nous sommes donc \u00e0 l\u2019abri des piratages\u00a0\u00bb).<\/p>\n<p>En r\u00e9alit\u00e9, la conformit\u00e9 consiste \u00e0 satisfaire aux exigences <strong>minimales<\/strong> des auditeurs et des organismes de r\u00e9glementation gouvernementaux \u00e0 un moment donn\u00e9. Malheureusement, les cyberattaques \u00e0 grande \u00e9chelle qui ont touch\u00e9 de grandes organisations prouvent que les exigences \u00ab\u00a0minimales\u00a0\u00bb m\u00e9ritent bien leur nom. Pour assurer une protection r\u00e9elle contre les cybermenaces modernes, les entreprises doivent am\u00e9liorer en permanence leurs strat\u00e9gies et mesures de s\u00e9curit\u00e9 en fonction du profil de risque de leur secteur d\u2019activit\u00e9.<\/p>\n<h2>Menace, vuln\u00e9rabilit\u00e9 et risque<\/h2>\n<p>Ces trois termes sont souvent utilis\u00e9s comme synonymes, ce qui conduit \u00e0 des interpr\u00e9tations erron\u00e9es de la part de la direction : \u00ab\u00a0Notre serveur pr\u00e9sente-t-il une vuln\u00e9rabilit\u00e9 critique ? Cela signifie que nous courons un risque critique !\u00a0\u00bb Pour \u00e9viter la panique ou, \u00e0 l\u2019inverse, l\u2019inaction, il est essentiel d\u2019utiliser ces termes avec pr\u00e9cision et de comprendre comment ils s\u2019articulent les uns par rapport aux autres.<\/p>\n<p>Une vuln\u00e9rabilit\u00e9 est une faiblesse, une \u00ab\u00a0porte ouverte\u00a0\u00bb. Il peut s\u2019agir d\u2019une faille dans le code logiciel, d\u2019un serveur mal configur\u00e9, d\u2019une salle de serveurs non verrouill\u00e9e ou d\u2019un employ\u00e9 qui ouvre toutes les pi\u00e8ces jointes des emails.<\/p>\n<p>Une menace est une cause potentielle d\u2019incident. Il peut s\u2019agir d\u2019un acteur malveillant, d\u2019un programme malveillant ou m\u00eame d\u2019une catastrophe naturelle. Une menace est tout ce qui est susceptible de \u00ab\u00a0franchir cette porte ouverte\u00a0\u00bb.<\/p>\n<p>Le risque correspond \u00e0 la perte potentielle. Il s\u2019agit de l\u2019\u00e9valuation cumulative de la probabilit\u00e9 d\u2019une attaque r\u00e9ussie et de ce que l\u2019organisation risque de perdre en cons\u00e9quence (l\u2019impact).<\/p>\n<p>Les liens entre ces \u00e9l\u00e9ments s\u2019expliquent le mieux \u00e0 l\u2019aide d\u2019une formule simple\u00a0:<\/p>\n<p>Risque = (Menace \u00d7 Vuln\u00e9rabilit\u00e9) \u00d7 Impact<\/p>\n<p>Voici un exemple illustrant ce principe. Imaginons qu\u2019une vuln\u00e9rabilit\u00e9 critique avec un niveau de gravit\u00e9 maximal soit d\u00e9couverte dans un syst\u00e8me obsol\u00e8te. Cependant, ce syst\u00e8me est d\u00e9connect\u00e9 de tous les r\u00e9seaux, se trouve dans une pi\u00e8ce isol\u00e9e et n\u2019est manipul\u00e9 que par trois employ\u00e9s agr\u00e9\u00e9s. La probabilit\u00e9 qu\u2019un attaquant y acc\u00e8de est proche de z\u00e9ro. Cependant, l\u2019absence d\u2019authentification \u00e0 deux facteurs dans les syst\u00e8mes comptables cr\u00e9e un risque r\u00e9el et \u00e9lev\u00e9, tant en raison de la forte probabilit\u00e9 d\u2019attaque que des dommages potentiels importants.<\/p>\n<h2>R\u00e9ponse aux incidents, reprise apr\u00e8s sinistre et continuit\u00e9 des activit\u00e9s<\/h2>\n<p>La perception qu\u2019a la direction des crises de s\u00e9curit\u00e9 est souvent trop simplifi\u00e9e : \u00ab\u00a0Si nous subissons une attaque par ransomware, nous n\u2019aurons qu\u2019\u00e0 activer le plan de reprise apr\u00e8s sinistre informatique et restaurer les donn\u00e9es \u00e0 partir des sauvegardes\u00a0\u00bb. Cependant, confondre ces concepts (et ces processus) est extr\u00eamement dangereux.<\/p>\n<p>La r\u00e9ponse aux incidents (IR) rel\u00e8ve de la responsabilit\u00e9 de l\u2019\u00e9quipe de s\u00e9curit\u00e9 ou des prestataires sp\u00e9cialis\u00e9s. Leur travail consiste \u00e0 localiser la menace, \u00e0 expulser le pirate du r\u00e9seau et \u00e0 emp\u00eacher l\u2019attaque de se propager.<\/p>\n<p>La reprise apr\u00e8s sinistre (DR) est une t\u00e2che d\u2019ing\u00e9nierie informatique. Il s\u2019agit du processus de restauration des serveurs et des donn\u00e9es \u00e0 partir des sauvegardes une fois que la r\u00e9ponse \u00e0 l\u2019incident est termin\u00e9e.<\/p>\n<p>La continuit\u00e9 des activit\u00e9s (BC) est une t\u00e2che strat\u00e9gique qui incombe \u00e0 la direction g\u00e9n\u00e9rale. Il s\u2019agit du plan d\u00e9finissant la mani\u00e8re dont l\u2019entreprise continue \u00e0 servir ses clients, \u00e0 exp\u00e9dier ses marchandises, \u00e0 verser des indemnit\u00e9s et \u00e0 communiquer avec la presse alors que ses principaux syst\u00e8mes sont toujours hors service.<\/p>\n<p>Si la direction se concentre uniquement sur la reprise, l\u2019entreprise n\u2019aura pas de plan d\u2019action pour la p\u00e9riode la plus critique de l\u2019indisponibilit\u00e9 des services.<\/p>\n<h2>Sensibilisation \u00e0 la s\u00e9curit\u00e9 et culture de la s\u00e9curit\u00e9<\/h2>\n<p>Les dirigeants de tous niveaux partent parfois du principe que le simple fait d\u2019organiser une formation \u00e0 la s\u00e9curit\u00e9 garantit des r\u00e9sultats : \u00ab\u00a0Les employ\u00e9s ont r\u00e9ussi leur test annuel, ils ne cliqueront donc plus jamais sur un lien de phishing\u00a0\u00bb. Malheureusement, se fier uniquement aux formations organis\u00e9es par les RH et le service informatique ne suffit pas. Pour obtenir des r\u00e9sultats, il faut changer le comportement de l\u2019\u00e9quipe, ce qui est impossible sans impliquer la direction de l\u2019entreprise.<\/p>\n<p><a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/security-awareness?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">La sensibilisation<\/a>c\u2019est la connaissance. Un employ\u00e9 sait ce qu\u2019est le phishing et comprend l\u2019importance des mots de passe complexes.<\/p>\n<p>La culture de la s\u00e9curit\u00e9 fait r\u00e9f\u00e9rence aux mod\u00e8les comportementaux. C\u2019est ce qu\u2019un employ\u00e9 fait dans une situation stressante ou quand personne ne le regarde. La culture n\u2019est pas fa\u00e7onn\u00e9e par des tests, mais par un environnement <a href=\"https:\/\/www.kaspersky.fr\/blog\/no-blame-cybersecurity-culture\/23080\/\" target=\"_blank\" rel=\"noopener\">propice \u00e0 la signalisation des erreurs<\/a> et o\u00f9 il est courant d\u2019identifier et de pr\u00e9venir les situations potentiellement dangereuses. Si un employ\u00e9 craint une sanction, il cachera un incident. Dans une culture saine, les employ\u00e9s signaleront un email suspect au SOC ou pr\u00e9viendront un coll\u00e8gue qui aurait oubli\u00e9 de verrouiller son ordinateur, devenant ainsi un maillon actif de la cha\u00eene de d\u00e9fense.<\/p>\n<h2>D\u00e9tection et pr\u00e9vention<\/h2>\n<p>Les chefs d\u2019entreprise pensent souvent en termes d\u00e9pass\u00e9s, comme s\u2019ils vivaient dans une \u00ab\u00a0forteresse\u00a0\u00bb : \u00ab\u00a0Nous avons achet\u00e9 des syst\u00e8mes de protection co\u00fbteux, donc il ne devrait y avoir aucun moyen de nous pirater. Si un incident se produit, cela signifie que le RSSI a failli \u00e0 sa mission.\u00a0\u00bb Dans la pratique, pr\u00e9venir 100 % des attaques est techniquement impossible et \u00e9conomiquement irr\u00e9aliste. La strat\u00e9gie moderne repose sur un \u00e9quilibre entre la cybers\u00e9curit\u00e9 et l\u2019efficacit\u00e9 commerciale. Dans un syst\u00e8me \u00e9quilibr\u00e9, les composants ax\u00e9s sur la d\u00e9tection et la pr\u00e9vention des menaces fonctionnent en tandem.<\/p>\n<p>La pr\u00e9vention permet de d\u00e9tourner les attaques automatis\u00e9es et massives.<\/p>\n<p>La d\u00e9tection et la r\u00e9ponse permettent d\u2019identifier et de neutraliser les attaques cibl\u00e9es plus avanc\u00e9es qui parviennent \u00e0 contourner les outils de pr\u00e9vention ou \u00e0 exploiter les vuln\u00e9rabilit\u00e9s.<\/p>\n<p>L\u2019objectif principal de l\u2019\u00e9quipe charg\u00e9e de la cybers\u00e9curit\u00e9 aujourd\u2019hui n\u2019est pas de garantir une immunit\u00e9 totale, mais de d\u00e9tecter une attaque \u00e0 un stade pr\u00e9coce et d\u2019en minimiser l\u2019impact sur l\u2019entreprise. Pour mesure l\u2019efficacit\u00e9, les entreprises utilisent g\u00e9n\u00e9ralement des indicateurs, comme le temps moyen de d\u00e9tection (MTTD) et le <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/mean-time-to-respond-mttr\/\" target=\"_blank\" rel=\"noopener\">temps moyen de r\u00e9ponse<\/a> (MTTR).<\/p>\n<h2>Philosophie \u00ab\u00a0confiance z\u00e9ro\u00a0\u00bb et produits \u00ab\u00a0confiance z\u00e9ro\u00a0\u00bb<\/h2>\n<p>Le concept de <a href=\"https:\/\/www.kaspersky.com\/blog\/zero-trust-transition-practical-advice\/53404\/\" target=\"_blank\" rel=\"noopener nofollow\">confiance z\u00e9ro<\/a>, qui implique de \u00ab\u00a0ne jamais faire confiance, toujours v\u00e9rifier\u00a0\u00bb pour toutes les composantes de l\u2019infrastructure informatique, est depuis longtemps reconnu comme pertinent et efficace dans le domaine de la s\u00e9curit\u00e9 des entreprises. Cette approche implique une v\u00e9rification syst\u00e9matique de l\u2019identit\u00e9 (comptes utilisateurs, appareils et services) et du contexte pour chaque demande d\u2019acc\u00e8s, en partant du principe que le r\u00e9seau a d\u00e9j\u00e0 \u00e9t\u00e9 compromis.<\/p>\n<p>Cependant, la pr\u00e9sence du terme \u00ab\u00a0confiance z\u00e9ro\u00a0\u00bb dans le nom d\u2019une solution de s\u00e9curit\u00e9 ne signifie pas qu\u2019une organisation peut adopter cette approche du jour au lendemain simplement en achetant le produit.<br>\nLa confiance z\u00e9ro n\u2019est pas un produit que l\u2019on peut \u00ab\u00a0activer\u00a0\u00bb. Il s\u2019agit d\u2019une strat\u00e9gie architecturale et d\u2019un processus de transformation \u00e0 long terme. La mise en \u0153uvre du mod\u00e8le de confiance z\u00e9ro exige une restructuration des processus d\u2019acc\u00e8s et une am\u00e9lioration des syst\u00e8mes informatiques afin de garantir une v\u00e9rification continue des identit\u00e9s et des appareils. L\u2019acquisition d\u2019un logiciel, sans \u00e9volution des processus, n\u2019aura qu\u2019un impact limit\u00e9.<\/p>\n<h2>S\u00e9curit\u00e9 du cloud et s\u00e9curit\u00e9 dans le cloud<\/h2>\n<p>Lors de la migration des services informatiques vers une infrastructure cloud comme AWS ou Azure, on a souvent l\u2019illusion d\u2019un transfert total des risques : \u00ab\u00a0Nous payons le fournisseur, donc la s\u00e9curit\u00e9 lui incombe d\u00e9sormais\u00a0\u00bb. Il s\u2019agit l\u00e0 d\u2019une id\u00e9e fausse dangereuse et d\u2019une interpr\u00e9tation erron\u00e9e de ce que l\u2019on appelle le mod\u00e8le de responsabilit\u00e9 partag\u00e9e.<\/p>\n<p>La s\u00e9curit\u00e9 <strong>du<\/strong> cloud rel\u00e8ve de la responsabilit\u00e9 du fournisseur. Elle prot\u00e8ge les centres de donn\u00e9es, les serveurs physiques et le c\u00e2blage.<\/p>\n<p>La s\u00e9curit\u00e9 <strong>dans<\/strong> le cloud rel\u00e8ve de la responsabilit\u00e9 du client.<\/p>\n<p>Les discussions concernant les budgets des projets cloud et leurs aspects s\u00e9curitaires doivent \u00eatre accompagn\u00e9es d\u2019exemples concrets. Le fournisseur prot\u00e8ge la base de donn\u00e9es contre tout acc\u00e8s non autoris\u00e9 conform\u00e9ment aux param\u00e8tres configur\u00e9s par les employ\u00e9s du client. Si des employ\u00e9s laissent une base de donn\u00e9es ouverte ou utilisent des mots de passe faibles, et si l\u2019authentification \u00e0 deux facteurs n\u2019est pas activ\u00e9e pour le panneau d\u2019administration, le fournisseur ne peut emp\u00eacher des personnes non autoris\u00e9es de t\u00e9l\u00e9charger les informations, ce qui <a href=\"https:\/\/www.scworld.com\/brief\/unsecured-amazon-s3-bucket-exposes-webwork-data\" target=\"_blank\" rel=\"noopener nofollow\">arrive malheureusement trop souvent<\/a>. C\u2019est pourquoi le budget allou\u00e9 \u00e0 ces projets doit tenir compte des outils de s\u00e9curit\u00e9 cloud et de la gestion de la configuration c\u00f4t\u00e9 entreprise.<\/p>\n<h2>Recherche de vuln\u00e9rabilit\u00e9s et tests d\u2019intrusion<\/h2>\n<p>Les dirigeants confondent souvent les contr\u00f4les automatis\u00e9s, qui rel\u00e8vent de la cyberhygi\u00e8ne, avec l\u2019\u00e9valuation de la r\u00e9silience des infrastructures informatiques face \u00e0 des attaques complexes : \u00ab\u00a0Pourquoi payer des pirates informatiques pour un test d\u2019intrusion alors que nous effectuons une analyse hebdomadaire ?\u00a0\u00bb<\/p>\n<p>La recherche de vuln\u00e9rabilit\u00e9s consiste \u00e0 v\u00e9rifier une liste sp\u00e9cifique de ressources informatiques afin d\u2019y d\u00e9tecter d\u2019\u00e9ventuelles failles connues. Pour simplifier, c\u2019est comme si un agent de s\u00e9curit\u00e9 faisait des rondes pour v\u00e9rifier que les fen\u00eatres et les portes du bureau sont bien ferm\u00e9es.<\/p>\n<p>Le test d\u2019intrusion (pentesting) est une \u00e9valuation manuelle visant \u00e0 \u00e9valuer la possibilit\u00e9 d\u2019une violation r\u00e9elle en exploitant des vuln\u00e9rabilit\u00e9s. Pour poursuivre l\u2019analogie, cela reviendrait \u00e0 engager un cambrioleur professionnel pour qu\u2019il tente de s\u2019introduire dans le bureau.<\/p>\n<p>L\u2019un ne remplace pas l\u2019autre. Pour comprendre sa v\u00e9ritable exposition aux risques de s\u00e9curit\u00e9, une entreprise a besoin des deux outils.<\/p>\n<h2>\u00c9quipements administr\u00e9s et surface d\u2019attaque<\/h2>\n<p>Une id\u00e9e fausse courante et dangereuse concerne l\u2019\u00e9tendue de la protection et la visibilit\u00e9 globale dont b\u00e9n\u00e9ficient les services informatiques et de s\u00e9curit\u00e9. Une phrase qui revient souvent en r\u00e9union est : \u00ab\u00a0Nous disposons d\u2019un inventaire pr\u00e9cis de notre mat\u00e9riel. Nous prot\u00e9geons tout ce que nous poss\u00e9dons.\u00a0\u00bb<\/p>\n<p>Les \u00e9quipements informatiques g\u00e9r\u00e9s sont des ressources achet\u00e9es et configur\u00e9es par le service informatique, et visibles dans ses rapports.<\/p>\n<p>Une surface d\u2019attaque d\u00e9signe tout ce qui est accessible aux pirates informatiques\u00a0: tout point d\u2019entr\u00e9e potentiel dans l\u2019entreprise. Il s\u2019agit entre autres du <a href=\"https:\/\/www.kaspersky.com\/blog\/shadow-it-as-a-threat\/34938\/\" target=\"_blank\" rel=\"noopener nofollow\">Shadow IT<\/a> (services cloud, applications de messagerie personnelle, serveurs de test\u2026), c\u2019est-\u00e0-dire tout ce que les employ\u00e9s lancent eux-m\u00eames en contournant les protocoles officiels afin d\u2019acc\u00e9l\u00e9rer ou de simplifier leur travail. Bien souvent, ce sont ces \u00e9l\u00e9ments \u00ab\u00a0invisibles\u00a0\u00bb qui constituent le point d\u2019entr\u00e9e d\u2019une attaque, car l\u2019\u00e9quipe de s\u00e9curit\u00e9 ne peut pas prot\u00e9ger ce dont elle ignore l\u2019existence.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kaspersky-next\">\n","protected":false},"excerpt":{"rendered":"<p>Pr\u00e9sentation des principaux termes li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 que les coll\u00e8gues ont souvent tendance \u00e0 interpr\u00e9ter diff\u00e9remment ou de mani\u00e8re incorrecte.<\/p>\n","protected":false},"author":2722,"featured_media":23627,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[4583,87,4584,4552,136,3031,914,3222,4201],"class_list":{"0":"post-23625","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-confiance-zero","11":"tag-conseils","12":"tag-culture-de-la-securite","13":"tag-cyberresilience","14":"tag-entreprise","15":"tag-formation","16":"tag-risques","17":"tag-rssi","18":"tag-strategie"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/23625\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/30162\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/25231\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/13204\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/30035\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/31853\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/30466\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/41263\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/14277\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/55258\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/24739\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/33202\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/35922\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/language-of-risk-key-cybersecurity-terms-for-the-board\/35579\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/strategie\/","name":"strat\u00e9gie"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23625","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23625"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23625\/revisions"}],"predecessor-version":[{"id":23629,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23625\/revisions\/23629"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23627"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23625"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23625"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23625"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}