Les risques évalués lors d’un pentest se concentrent généralement sur les attaques perpétrées depuis l’extérieur du système d’information. En effet, une approche classique consiste à tester dans un premier temps les risques d’attaques externes (pentest en boite noire), puis dans un second temps les risques d’attaques à partir d’un accès client ou partenaire de l’entreprise (pentest en boite grise).
La sécurité est au cœur des préoccupations des éditeurs d’application SaaS. En effet, elle est indispensable pour que les utilisateurs accordent leur confiance à la solution et pour garantir que les données seront protégées.
Sécurité de l’authentification, cloisonnement des données, chiffrement des données, mais aussi sécurité du parcours utilisateur, continuité de service et intégrations tierces… Les problématiques sécurité des applications SaaS sont multiples. Un pentest permet d’évaluer la robustesse d’une plateforme SaaS afin de mettre à l’épreuve et éventuellement de renforcer son niveau de sécurité. Voici une liste des aspects qui méritent une attention particulière lors d’un pentest.
Les applications mobiles font partie des éléments à sécuriser dans la mesure où elles manipulent des données personnelles, accèdent à des informations sensibles, et permettent dans certains cas de piloter des appareils à distance. Très utilisées dans le domaine de l’IoT, elles sont également au cœur du business model de nombreuses FinTech, HealthTech et entreprises innovantes de divers secteurs.
La sécurité des applications mobiles comprend différents aspects : la sécurité des applications mobiles elles-mêmes (version iOS ou Android), la sécurité des APIs et la sécurité des serveurs. La sécurité du back end (APIs et serveurs) est généralement plus critique que la sécurité du front end (apps iOS / Android), mais ceci dépend du contexte technique et fonctionnel de l’application elle-même.
PASSI, CREST, OSCP, CEH… Faut-il faire un pentest avec un prestataire certifié ? Les certifications en sécurité permettent aux entreprises proposant des audits de sécurité de se qualifier. Si vous souhaitez faire appel à ce type de service, ce sont des éléments intéressants à prendre en compte pour le choix d’un prestataire, mais ce ne sont pas les seuls éléments permettant d’évaluer un niveau de qualité. De plus, si vous commanditez un pentest, se pose la question de la valorisation de la démarche et des éventuelles certifications que vous pourrez mettre en avant suite à l’audit de sécurité.
« Le bug bounty signe la fin des pentests » « Le bug bounty, la mort du test d’intrusion traditionnel »… Vous vous souvenez de ces titres d’articles ? Nous voyons aujourd’hui que ce n’est pas le cas et que les deux approches continuent d’exister.
Ces deux offres répondent au même besoin initial : mettre à l’épreuve les applications web et l’infrastructure d’une entreprise par des attaques réalistes. Quelles sont les différences de chacune des démarches ? Comment choisir entre un bug bounty et un test d’intrusion ?
Nous vous présentons neuf critères principaux à prendre en compte dans votre réflexion.
D’un point de vue cybersécurité, le dark web est semblable à une immense marketplace, où les données sensibles (données personnelles, données bancaires, identifiants, etc.) côtoient des kits pour réaliser des cyberattaques. En effet, on y trouve des malwares à acheter entre $50 et $500 [1], 15 milliards d’identifiants y seraient en circulation… [2]
Commet savoir si vos données professionnelles se trouvent sur le dark web ?
Après avoir éclairci les termes deep web, dark web et dark net, nous verrons comment vérifier si des données d’entreprise sont présentes sur le dark web et que faire si c’est le cas.
Réaliser régulièrement des tests d’intrusion de sites e-commerce permet d’assurer un bon niveau de sécurité. Ceci est nécessaire pour assurer le bon fonctionnement du site ainsi que l’image de marque de l’entreprise auprès de ses clients. Mais les enjeux de sécurité sont tellement multiples qu’il est parfois nécessaire d’établir des priorités.
L’infrastructure réseau est au cœur du fonctionnement des entreprises, et ce dans la plupart des secteurs d’activité. On peut la considérer comme le centre névralgique de toute l’organisation informatique, car c’est elle qui permet de centraliser les données, simplifier leur échange et faciliter la communication entre les collaborateurs.
C’est donc un outil indispensable au bon fonctionnement des entreprises, qui nécessite une attention de tous les instants sur le plan de la sécurité. Cela afin de se prémunir contre des attaques externes et internes de plus en plus nombreuses et sophistiquées.
La plupart des applications web manipulent des données personnelles et/ou des données business ; autant dire des données sensibles. Mots de passe, adresses email, numéros de cartes bancaires, données santé et autres, sont au centre de la bataille qui oppose deux camps. D’un côté les entreprises, de petite, moyenne ou grande taille, qui cherchent à se défendre contre des intrusions dans leurs systèmes d’information. Et de l’autre, des assaillants de plus en plus expérimentés, attirés par l’appât du gain et stimulés par les nombreuses brèches trop souvent ignorées par leurs futures victimes.
Vous connaissez cette semi-blague, « le cloud, c’est les ordinateurs de quelqu’un d’autre » ? Le cloud computing est souvent vu comme LA solution, si bien qu’on omet qu’il s’agit uniquement d’un outil, avec ses avantages et ses inconvénients.