Government & Public Sector

  • Share

Le réseau informatique de la Hogeschool Gent testé par hacking éthique

En étroite collaboration avec le service Audit Interne de la Hogeschool Gent (HoGent), EY a réalisé une enquête visant à évaluer la sécurité IT de la célèbre école gantoise. Cette évaluation a été menée d’une façon particulière : en accord avec notre client, nous nous sommes inscrits en tant qu’étudiants - ce qui nous a permis d’accéder au réseau de l’école -, et nous avons tenté de nous introduire dans les systèmes cruciaux de la Hogeschool Gent. Une vraie forme de hacking éthique en quelque sorte…

La sécurité IT, une donnée complexe
La sécurité IT joue un rôle déterminant au sein des établissements scolaires et universitaires. La vocation d’une école est de partager des informations avec ses étudiants et le grand public. Par ailleurs, l’apparition de nouvelles technologies multiplie les possibilités, et les utilisateurs attendent toujours plus de flexibilité. Désormais, on a l’impression que tout le monde s’attend à ce que l’ensemble des informations soit disponible immédiatement. Dans un tel environnement, il n’est pas facile de conserver un niveau de sécurité de qualité sans porter atteinte au caractère ouvert de l’organisation ou à la flexibilité des utilisateurs. Une bonne gestion des risques est donc d’une importance capitale. Notamment parce que l’une des missions principales des départements IT réside dans la protection des informations confidentielles, telles que les résultats des examens, par exemple, ou les salaires des collaborateurs.

L’ethical hacking, une partie importante de notre approche
L’ethical hacking (hacking éthique) ou ‘Attack & Penetration testing’ est une manière de tester le niveau de sécurité d’un réseau. EY a développé pour cela une méthodologie spécifique visant à s’infiltrer dans les informations cruciales d’une organisation.

Nous avons également utilisé la technique de l’ethical hacking pour tester la sécurité du réseau de la HoGent. Notre point de départ ? Une question particulièrement appropriée : « Les étudiants peuvent-ils modifier les résultats des examens sans qu’on le remarque ? ». L’idée ne nous semblait pas si saugrenue. Comme toutes les autres organisations, la HoGent est exposée aux attaques externes mais… en l’occurrence l’école a également pour vocation de former de futurs spécialistes IT ! Et ceux-ci aiment faire de nouvelles expérimentations, tester de temps à autre de nouvelles technologies ou de nouveaux outils, voir jusqu’où ils peuvent aller… De manière fictive, nous nous sommes donc inscrits en tant qu’étudiants afin de pouvoir accéder au réseau de la HoGent, puis nous avons tenté de nous introduire dans les systèmes cruciaux de l’école.

Un contexte plus large
La partie ‘ethical hacking’ est bien sûr celle qui frappe le plus les esprits, même s’il ne s’agissait au final que d’une fraction de notre stratégie. Nous avons analysé attentivement les besoins de la HoGent en matière de protection informatique, par exemple en informant les différents services et responsables de la façon de tenir leur rôle dans le processus de sécurité, mais aussi en leur expliquant comment veiller à ce que la politique de sécurité générale corresponde mieux à leurs besoins spécifiques. Bien sûr, nous avons pour cela collaboré étroitement avec la direction de l’établissement et avec les responsables du département IT.

Une communication sur mesure
EY a également choisi de communiquer à destination des différentes parties prenantes. Nous avons indiqué aux responsables IT les points noirs qu’il convenait d’éliminer. Nous avons également présenté un rapport aux comités d’Audit. Ensemble, nous avons identifié les risques professionnels concrets et traduit nos recommandations en actions à long terme pouvant être menées au travers des différents niveaux de direction. Enfin, nous avons conçu une campagne de sensibilisation aux questions de sécurité au sein même de la HoGent. Nous avons présenté des incidents liés à la sécurité dans le monde académique qui ont fait la une des médias, esquissé les dernières tendances et sources de problèmes en matière de sécurité informatique et débattu de thèmes concrets relatifs à la protection informatique au sein de la HoGent.

Les services IT à l’origine des initiatives sécuritaires
Ce sont généralement les responsables IT qui prennent l’initiative en matière de protection informatique parce qu’ils doivent gérer au quotidien d’importants systèmes informatiques, et sont donc parfaitement conscients des risques en matière de sécurité. Ces initiatives échouent malheureusement trop souvent parce que les risques réels ne sont pas identifiés et parce que les mesures proposées pour accroître la sécurité sont considérées comme inhibantes.

Pour beaucoup de monde, la sécurité informatique incombe aux responsables IT. C’est en partie vrai. Chaque département d’une organisation a son propre rôle à jouer au sein du système de protection : le comité directeur doit définir une stratégie, les responsables des différents services doivent faire connaître leurs exigences et aligner leurs activités quotidiennes sur cette stratégie, la direction IT est responsable de son implémentation technique et les utilisateurs finaux doivent respecter les mesures de protection.

La mise sur pied de cette construction exige un mentor ou un initiateur qui soit soutenu par sa hiérarchie, mais aussi la contribution de toute l’organisation pour le développement et l’implémentation d’une politique de sécurité. Et ce rôle est souvent dévolu aux responsables du département IT.

Connect with us

Stay connected with us through social media, email alerts or webcasts. Or download our EY Insights app for mobile devices.

EY_Belgium on twitter

 

Click here to view some of our recent presentations on slideshare.


Seminars

Click here to see the list of seminars and enroll online!