Les histoires de sécurité et de hackers, vous y avez déjà pensé… Mais cela vous paraît flou, pas urgent, et surtout vous ne savez pas trop comment se passe un test d’intrusion?

Vous possédez une application web (site Internet, application mobile), et pensez à la sécurité de vos données, celle de vos utilisateurs, de votre business… Mais vous ne vous lancez pas car cela va sûrement prendre du temps, n’est-ce pas?

Alors cet article est pour vous…

Un audit de sécurité, c’est quoi?

Si les termes « audit de sécurité » ou « tests d’intrusion” sont du chinois pour vous, je vous conseille de lire ce précédent article, décrivant à quoi servent ces tests :
“Qu’est-ce qu’un test d’intrusion”

Maintenant que vous savez ce que c’est : Comment se passe un test?

Quelques étapes faciles pour la sécurité web

Planifier un audit de sécurité, c’est facile!

Effectuer un test d’intrusion sur votre plateforme web ne vous prendra que relativement peu de temps.

En effet, une fois le périmètre de l’audit bien défini, il ne vous restera quasiment plus qu’à attendre que le test soit terminé, et de recevoir le rapport détaillé, généralement accompagné d’une présentation.

Le temps nécessaire pour tout préparer avec la société réalisant l’audit de sécurité tourne autour de 2 heures, le temps d’effectuer les tâches suivantes :

  • Se mettre d’accord sur le périmètre des tests
  • Fournir des comptes de test si nécessaire
  • Gérer les aspects administratifs (contrat, autorisation de tests)
  • Prévenir l’hébergeur web

Le périmètre des tests

Quitte à effectuer un audit de sécurité sur votre plateforme web, autant le faire entièrement! C’est pour cela qu’une des premières étapes consiste à lister les éléments que vous souhaitez tester, afin de ne pas en oublier :

  • site(s) Internet
  • interface d’administration / back-office
  • application iPhone, android…
  • webservices, APIs…

Cette première étape, en plus d’aider à définir le prix de la prestation, permet de ne pas laisser des éléments de côté. Si par exemple on ne protège pas les applications mobiles, celles-ci peuvent être utilisées afin d’attaquer le reste de la plateforme!

Les comptes de test

Définir des comptes de test permettra plusieurs choses.

Tout d’abord, pouvoir repérer les données créées durant les tests, afin de pouvoir les nettoyer/supprimer une fois les tests terminés. Cela ne peut pas toujours être fait pas la société réalisant les tests, suivant le type d’application testée.

Ensuite, il est parfois tout simplement impossible pour la société réalisant l’audit de créer des comptes, par exemple sur une interface d’administration. Fournir ces comptes permettra d’effectuer des tests plus complets.

Les aspects administratifs

Commencer les tests sans passer par la paperasse serait plus rapide, mais risquerait de poser quelques problèmes. Rassurez-vous, il n’y a que deux documents nécessaires, assez rapides et faciles à valider :

Premièrement, pour effectuer des tests de sécurité sur un site Internet, il est nécessaire d’avoir une autorisation écrite de la part de la société éditant le site Internet.
C’est la loi, tout simplement! Pas d’autorisation, pas de tests (même pas le plus petit des tests).

Deuxièmement, le contrat.
Comme dans toute prestation de services, il faut un contrat de services (incluant une assurance), entre la société réalisant l’audit et vous.

Prévenir l’hébergeur

Il est nécessaire de prévenir l’hébergeur gérant les serveurs que des tests de sécurité vont être effectués sur l’application.

Si cette étape est passée à la trappe, certaines alarmes risquent de se déclencher chez l’hébergeur et pourraient perturber l’audit.
Plus généralement, les hébergeurs web imposent certaines conditions pour les tests, pour des questions de sécurité liées à leur infrastructure.

C’est parti!

Vous vous posez encore des questions? Contactez nous, nous sommes là pour cela!
Prêt à mettre votre plateforme à l’épreuve? Nous pouvons lancer un audit Intégral, ou un premier audit Découverte!