Qu’apporte un pentest vs un scanner de vulnérabilités ?

Scanner de vulnérabilités vs pentestL’un et l’autre sont dits comme les meilleurs alliés des RSSI (et en général des personnes en charge de la sécurité). Ils sont toutefois deux outils différents dans une stratégie de sécurité. Quelles sont les différentes caractéristiques de chacun ?

Commençons par le scanner de vulnérabilités.

Il s’agit d’un logiciel qui mène des tests sur votre plateforme – votre système d’information – … pour détecter des vulnérabilités. Un scanner identifie les vulnérabilités grâce à sa base de données qui contient les vulnérabilités connues et les problèmes de sécurité courants.

Première caractéristique, les tests sont automatiques. Cela signifie qu’ils sont rapides et un système entier peut être facilement testé en quelques heures / jours, en fonction de sa taille.

Lire la suite

Sécurité web : Que retenir de 2018 ?

Web Security 2018 Year In Review2018 vient de se terminer, et nous avons décidé de revenir sur cette année. De toutes les nouvelles qui ont fait les titres, nous en avons résumé 8 éléments principaux. Voici notre Year in Review (ou Rétrospective) de la sécurité web 2018.

 

1/ Tellement de fuites de données

Les chiffres pour 2018 ne sont pas encore connus, mais déjà sur le seul premier semestre, 944 fuites de données ont été répertoriées (source). Malgré une sensibilisation croissante à la cybersécurité, les incidents de sécurité sont multiples.

Dans certains cas, les données compromises sont allées au-delà des « classiques » pertes de l’email / du mot de passe / du numéro de carte bancaire. On peut citer la fuite de données de Marriott qui incluait des numéros de passeports, celle de Aadhaar des données biométriques… L’impact est majeur pour les personnes dont les données ont été compromises, et pour l’image des entreprises concernées.

Lire la suite

Stage ou Alternance Dev PHP Symfony4

We're hiring developerVaadata est une startup en cybersécurité (pentest) recherchant un stagiaire (ou éventuellement un alternant) pour travailler sur le développement de nos outils internes en PHP Symfony4.

 

Qui sommes-nous ? 

  • Une start-up dynamique experte en hacking éthique
  • Une petite équipe fun et aimant la liberté, bien loin du monde corporate des grandes sociétés de conseil
  • Une entreprise accordant du temps à la veille technique et à la créativité

Lire la suite

Avez-vous vérifié la sécurité de votre site avant les achats de Noël ?

Ecommerce christmas time and securityAvec les fêtes de fin d’année qui arrivent et les soldes de janvier qui suivent, les achats en ligne sont au programme. Vos annonces, visuels et promotions sont prêts, mais avez-vous pensé à la sécurité de votre site ?
Nous n’allons pas vous rappeler de faire vos mises à jour et installer les patchs ou de surveiller les opérations suspectes (ce que vous faites déjà), mais nous concentrer sur trois éléments pour protéger les données de vos clients et les rassurer sur votre sécurité.

 

1/ Le certificat HTTPS

Utiliser HTTPS est indispensable pour un site e-commerce. Les utilisateurs attendent de voir le fameux cadenas vert sur les pages où ils donnent leurs informations. Nombreux sont ceux qui se basent seulement sur une URL commençant par HTTPS et le cadenas pour estimer la fiabilité d’un site.

Cependant, les hackers malveillants le savent également. Ils créent désormais des sites avec le certificat HTTPS pour tromper les utilisateurs. Une étude de PhishLabs (en anglais) estime qu’au 3e trimestre 2018, 49% des sites de phishing utilisent un certificat HTTPS.
(Nous détaillons ici comment identifier les emails suspects pour éviter les différentes stratégies de phishing, qui peuvent piéger même les utilisateurs expérimentés.)

Lire la suite