Il existe plusieurs types d’audits de sécurité informatique : certains concernent des aspects organisationnels, d’autres concernent une analyse technique, d’autres encore sont des tests d’intrusion.
Tous ces aspects sont complémentaires, afin d’analyser au mieux le niveau de sécurité d’une organisation. Dans cet article, nous allons volontairement laisser de côté les aspects organisationnels afin de nous focaliser sur les aspects techniques.
Stocker les mots de passe de manière sécurisée est une préoccupation récurrente.
Mais quelles sont les principales méthodes, comment fonctionnent-elles, et que valent-elles face aux techniques actuelles de cassage de mots de passe ?
Nous vous expliquons dans cet article les principes essentiels d’un stockage sécurisé (hash, sel, poivre, itération) et mettrons en évidence leur importance pour résister aux méthodes de récupération des mots de passe. Enfin, nous vous parlerons d’une fonction de hashage fiable pour un stockage sécurisé.
La tendance actuelle est au renforcement des exigences sécurité des clients, partenaires et investisseurs. Les audits de sécurité se sont démocratisés aux petites et moyennes entreprises, pour qui ils représentent un passage obligé afin de pouvoir collaborer sur des sujets IT avec des grandes entreprises. En effet, les grands-comptes intègrent quasi systématiquement des demandes de rapport d’audits de sécurité dans leurs processus d’achats. L’entrée en application du RGPD depuis 2 ans a aussi permis aux entreprises de prendre conscience des enjeux de sécurité des données, dans des secteurs d’activité où la prise en compte des risques était auparavant peu élevée. Les certifications en sécurité (ISO 27001, HDS, PCI-DSS, SOC2…) sont de plus en plus plébiscitées par les entreprises de petite et moyenne taille, afin de se différencier et de faire de la sécurité un axe de qualité.
Réaliser un audit de sécurité a un coût. Quand on interroge des sociétés sur le budget qu’elles y ont consacré, on entend souvent « entre 10k€ et 20k€ », parfois un peu plus, parfois un peu moins. Cependant, il n’y a pas vraiment de prix standard pour ce type de prestation : tout dépend de ce qui est fait, comment, et par qui. Si l’objectif principal est de pouvoir montrer qu’un pentest a été réalisé il y a moins de 6 mois, il est possible de faire des concessions pour respecter un budget extrêmement limité.
Abraham Lincoln (répétant un bucheron) aurait répondu à la question : que feriez-vous si vous aviez seulement six heures pour abattre un arbre ? Je passerai les quatre premières à affûter ma hache.
Qu’est-ce que cela nous dit ? Que la préparation est la clé.
Vous ne pouvez pas protéger ce que vous ne connaissez pas, c’est pourquoi connaitre sa surface d’attaque est le premier pas essentiel pour la protéger efficacement.
Une fois que vous avez décidé de faire un pentest, vous pouvez vous demander s’il doit cibler votre environnement de production.
Selon les risques, il peut être justifié de conduire l’audit de sécurité soit sur l’environnement de production, soit sur un environnement de test. Vous trouverez ci-dessous un résumé des avantages et des inconvénients de chacune de ces possibilités.
Vaadata est une start-up spécialisée en audits de sécurité. Nous recherchons un consultant cybersécurité (H/F) pour rejoindre notre équipe, à l’interface entre les enjeux techniques et business.
25 pages pour connaître les vulnérabilités courantes et exploitables sur les technologies sans fil de l’IoT, ainsi que les moyens pour les contrer ou pour réduire les risques.
Vaadata est une startup en cybersécurité (pentest) recherchant un stagiaire (ou éventuellement un alternant) pour travailler sur un projet interne de développement front en ReactJS.
Le top 10 OWASP 2017 introduit comme risque l’insuffisance de logging et de monitoring. En effet, les problèmes inhérents à cette pratique sont souvent sous-évalués et mal compris. Mais pourquoi une tâche simple en apparence est finalement un point crucial de la sécurité des systèmes d’information ?