La réponse diffère pour chaque entreprise, en fonction de son secteur d’activité et de son « attractivité » pour des attaquants.
Pour des activités hautement sensibles, il est recommandé de conduire régulièrement des tests d’intrusion, plusieurs fois par an. L’idée est de tester les dernières méthodes et évolutions des attaques.
Pour des activités moins sensibles, il est conseillé de réaliser un pentest à chaque nouvelle version ou ajout de fonctionnalités importantes.
Tous les sites sont les cibles de cyberattaques, y compris ceux qui n’ont aucune donnée sensible.
Les motivations des hackers peuvent être de s’entraîner, de prendre le contrôle de votre serveur pour héberger un site malveillant ou pour en faire une source de profit, ou tout simplement de s’amuser.
Les sites sous Wordpress, par exemple, font partie des plus piratés. Certaines attaques sont automatisées à grande échelle sur des dizaines de milliers de sites web, et les victimes ne sont pas ciblées précisément.
Tout dépend de la surface à tester et de la profondeur des tests voulus. Des tests exhaustifs demanderont logiquement plus temps et donc un budget plus important.
Vous pouvez consulter notre page Tarifs pour avoir des éléments plus précis.
Les logiciels de scan permettent de conduire des analyses automatiques de sécurité. Ils permettent de détecter un certain nombre de failles répertoriées. Il s’agit d’un premier niveau de sécurité.
Un pentest repose sur des tests d’intrusion manuels et semi-automatisés. Chaque audit de sécurité est réalisé sur mesure, en fonction de votre architecture technique et fonctionnelle. Les pentests permettent de détecter des failles invisibles par les logiciels de scan (par exemple les failles de logique). Ils permettent aussi une analyse plus approfondie en exploitant les vulnérabilités découvertes afin d’évaluer leur impact.
Faire conduire un pentest revient à opter pour une approche structurée : la recherche systématique de vulnérabilités avec une méthodologie bien établie permet de couvrir tous les pans du système exposé. L’audit a un début et une fin, avec des dates planifiées. Il peut ensuite être renouvelé sur une base régulière. La société cliente a un interlocuteur avec lequel échanger, sur les failles, les corrections à mettre en place, et les risques spécifiques liés à son activité.
Le bug bounty consiste à permettre des tests en continu, par un grand nombre de personnes. Il s’agit de la démarche de crowdsourcing adaptée au pentest.
Il peut se révéler intéressant pour élargir les tests de sécurité sur une plateforme déjà bien sécurisée : cela permet de varier les regards et de faire éventuellement remonter des éléments oubliés.
Pour en savoir plus pour bien choisir selon vos besoins, vous pouvez consulter l’article Pentest vs. Bug Bounty.
Etre pentester (consultant en sécurité) est un métier qui inclut de connaître plusieurs langages, afin justement de pouvoir les tester.
Par ailleurs, de nombreuses failles ne sont pas liées à une technologie spécifique et existent dans la plupart des langages.
Pour toute demande de tests sur une technologie précise, n’hésitez pas à nous contacter.
D’un côté, il peut être utile de faire une démonstration fonctionnelle d’une solution, afin que les pentesters aient une meilleure compréhension du fonctionnement d’un produit métier complexe. Cela est intéressant pour les audits approfondis et permet de tester plus en détail la logique métier de la solution.
De l’autre côté, ne pas présenter le fonctionnement de sa solution conduit à réaliser le pentest dans les conditions similaires à une attaque réelle ; les pentesters jugeant des attaques prioritaires selon les éléments qu’ils découvrent au fur et à mesure de l’audit.
C’est donc un choix à faire selon vos objectifs.
Il n’y a pas une réponse, car c’est à déterminer en fonction de vos priorités.
D’une part, conduire un pentest sur l’environnement de pré-production est intéressant, car il est très semblable à l’environnement final et les tests ne toucheront pas les services utilisés par vos utilisateurs/clients.
D’autre part, mener un test d’intrusion sur l’environnement de production a l’avantage d’être effectué dans les conditions réelles d’utilisation de votre produit, avec les dernières évolutions mises en place.
Il est tout à fait possible techniquement de tester la résistance à une attaque par déni de service (DoS) lors d’un pentest. Si vous le souhaitez, des attaques DoS seront menées.
Simuler une attaque DoS durant un audit permet de détecter des vulnérabilités au niveau configuration ou applicatif, et qui ne dépendent pas de l’hébergeur.
Vaadata remet un rapport d’audit complet indiquant ce qui a été testé, comment cela a été testé, quelles failles ont été trouvées, ainsi que comment les exploiter. Le rapport contient des captures d'écran, des extraits de données volées, ainsi que les scénarios permettant de rejouer les attaques.
Le rapport d’audit contient des suggestions techniques de remédiation. Les corrections à appliquer sont détaillées faille par faille, ce qui constitue un résultat directement exploitable par les développeurs.
Vaadata ne corrige pas les failles identifiées et laisse vos équipes techniques faire les corrections.
Vaadata propose de contrôler que les remédiations ont été mises en place correctement et sans créer d’effets négatifs sur d’autres éléments.
Les informations confidentielles que Vaadata peut rencontrer lors d’un test d’intrusion ne sont ni collectées ni conservées. Des éléments sont transmis uniquement dans le rapport d’audit de manière anonyme pour pouvoir expliquer la vulnérabilité trouvée.
Par ailleurs, les rapports d’audits sont conservés par Vaadata seulement pour une durée limitée.
Le terme « hacking » est générique, il désigne un ensemble de techniques relevant des failles et vulnérabilités matérielles ou humaines dans le domaine informatique. Le hacking peut être utilisé à des fins bienveillantes ou malveillantes.
Au-delà des déclarations d’intention, les activités de Vaadata s’inscrivent dans un cadre légal. Vaadata intervient uniquement à votre demande, après signature d’un contrat ainsi que d’une autorisation de tests. Votre hébergeur est prévenu des tests, qui sont effectués à partir d’une seule adresse IP permettant d’identifier leur provenance.