La plupart des applications web manipulent des données personnelles et/ou des données business ; autant dire des données sensibles. Mots de passe, adresses email, numéros de cartes bancaires, données santé et autres, sont au centre de la bataille qui oppose deux camps. D’un côté les entreprises, de petite, moyenne ou grande taille, qui cherchent à se défendre contre des intrusions dans leurs systèmes d’information, et de l’autre, des assaillants de plus en plus expérimentés, attirés par l’appât du gain et stimulés par les nombreuses brèches trop souvent ignorées par leurs futures victimes.
Vous connaissez cette semi-blague, « le cloud, c’est les ordinateurs de quelqu’un d’autre » ? Le cloud computing est souvent vu comme LA solution, si bien qu’on omet qu’il s’agit uniquement d’un outil, avec ses avantages et ses inconvénients.
22, 23, 24 mars – à distance
3 jours (21h) – en français
Vous souhaitez vous former à la sécurité web ? A la fin de cette formation, vous saurez détecter les failles de sécurité les plus courantes des applications web et identifier les failles logiques.
La sécurité de l’IoT est une préoccupation croissante lors du développement d’objets connectés et pour leur mise sur le marché. Cependant, il y a actuellement un manque de clarté à propos des différentes réglementations et exigences à respecter, car de nombreux acteurs travaillent simultanément sur des certifications, lois et/ou standards. Pour vous aider à vous y retrouver, nous présentons très brièvement quelques principales exigences légales et standards en vigueur qui s’appliquent à l’IoT grand public.
Les applications web comme les applications mobiles sont au centre de l’activité de la plupart des entreprises. Qu’elles soient déployées en production ou en cours de développement, il existe encore certaines idées reçues sur la sécurité de ces systèmes, alors qu’il s’agit d’un sujet crucial pour le bon déroulement des activités.
Voici les 9 idées reçues que nous avons le plus souvent rencontrées.
Lors d’un audit de sécurité, trois approches sont possibles. Elles correspondent à différents niveaux d’information et d’accès fournis aux pentesters.
Le choix de l’approche d’un test d’intrusion dépend de vos objectifs : quel niveau de profondeur voulez-vous ? Et souhaitez-vous tester la menace externe ou la menace interne ?
WordPress, Joomla, Drupal, Shopify, Prestashop et bien d’autres encore, offrent de vraies possibilités pour réaliser des sites vitrines ou des e-shops à la fois ergonomiques et performants. Cependant, une image négative reste associée aux sites web reposant sur des CMS : ils seraient peu sécurisés et des cibles faciles pour des hackers malveillants.
Quels sont les risques de cyberattaques pour ces sites ? Quels éléments spécifiques des CMS sont à surveiller ?
Si vous êtes en charge d’une plateforme CMS, cet article vous aidera à identifier les risques principaux et vous donnera les points de vigilance pour renforcer le niveau de sécurité.
Vous savez pourquoi le phishing est si redoutable ?
Parce qu’il mêle des compétences IT et des connaissances de la psychologie humaine. En effet, un mail de phishing s’appuie sur des ressorts psychologiques humains pour tout d’abord inciter à l’ouverture du mail et pour ensuite pousser au clic.
Les compétences techniques sont bien entendu nécessaires pour augmenter les probabilités de clics, par exemple pour usurper un expéditeur légitime, pour créer un clone d’interface, pour renvoyer vers des domaines malveillants, etc.
Mais aujourd’hui, nous nous intéressons aux leviers qui poussent à l’action lors d’un phishing. Nous avons repris huit leviers psychologiques couramment utilisés et nous les avons associés à différents sujets qui peuvent servir de prétextes pour un phishing.
Définir le scope d’un pentest est une étape délicate. Quelle sera la cible du pentest ? Plus précisément, quels aspects fonctionnels et techniques faut-il tester en priorité ? De plus, quel degré de profondeur et quelle fréquence de pentest sont à recommander ?
TL;DR
Pancake est un logiciel de facturation en ligne, de management de projets et de gestion du temps et des devis. Un secret codé en dur, partagé par l’ensemble des installations et utilisé pour signer le cookie de session nous a permis de falsifier un cookie de session valide pour n’importe quel compte pour toutes applications Pancake avant la version 4.13.29.