PASSI, CREST, OSCP, CEH… Faut-il faire un pentest avec un prestataire certifié ? Les certifications en sécurité permettent aux entreprises proposant des audits de sécurité de se qualifier. Si vous souhaitez faire appel à ce type de service, ce sont des éléments intéressants à prendre en compte pour le choix d’un prestataire, mais ce ne sont pas les seuls éléments permettant d’évaluer un niveau de qualité. De plus, si vous commanditez un pentest, se pose la question de la valorisation de la démarche et des éventuelles certifications que vous pourrez mettre en avant suite à l’audit de sécurité.

Un pentest (ou test d’intrusion) permet de mettre à l’épreuve la sécurité de tout système informatique (applications, serveurs, API, etc.) en externalisant les tests à une entreprise spécialisée en cybersécurité ou en les réalisant en interne. Les plateformes de bug bounty répondent au même objectif. En revanche, les audits de sécurité sont réalisés par des hackers indépendants qui s’inscrivent sur une plateforme en ligne.

À l’arrivée de ces plateformes en Europe, on pensait que le bug bounty ferait de l’ombre au pentest traditionnel. Nous observons aujourd’hui que ces projections étaient erronées car ces deux approches, certes différentes, coexistent et sont plus complémentaires qu’opposées.

Quelles sont les différences et spécificités de chaque approche ? En quoi le pentest et le bug bounty sont complémentaires ? Durée et coût des tests de sécurité, méthodologie, gestion des vulnérabilités, conseil avant-vente, suivi post audit de sécurité, [etc.] nous présentons dans cet article les critères à prendre en compte dans votre réflexion, pour choisir ou allier bug bounty et/ou pentest pour réaliser vos tests de sécurité.

Réaliser régulièrement des tests d’intrusion de sites e-commerce permet d’assurer un bon niveau de sécurité. Ceci est nécessaire pour assurer le bon fonctionnement du site ainsi que l’image de marque de l’entreprise auprès de ses clients. Mais les enjeux de sécurité sont tellement multiples qu’il est parfois nécessaire d’établir des priorités.

L’infrastructure réseau est au cœur du fonctionnement des entreprises, et ce dans la plupart des secteurs d’activité. On peut la considérer comme le centre névralgique de toute l’organisation informatique, car c’est elle qui permet de centraliser les données, simplifier leur échange et faciliter la communication entre les collaborateurs.

C’est donc un outil indispensable au bon fonctionnement des entreprises, qui nécessite une attention de tous les instants sur le plan de la sécurité. Cela afin de se prémunir contre des attaques externes et internes de plus en plus nombreuses et sophistiquées.

La plupart des applications web manipulent des données personnelles et/ou des données business ; autant dire des données sensibles. Mots de passe, adresses email, numéros de cartes bancaires, données santé et autres, sont au centre de la bataille qui oppose deux camps. D’un côté les entreprises, de petite, moyenne ou grande taille, qui cherchent à se défendre contre des intrusions dans leurs systèmes d’information. Et de l’autre, des assaillants de plus en plus expérimentés, attirés par l’appât du gain et stimulés par les nombreuses brèches trop souvent ignorées par leurs futures victimes.

Vous connaissez cette semi-blague, « le cloud, c’est les ordinateurs de quelqu’un d’autre » ? Le cloud computing est souvent vu comme LA solution, si bien qu’on omet qu’il s’agit uniquement d’un outil, avec ses avantages et ses inconvénients.

Lors d’un audit de sécurité, trois approches sont possibles. Elles correspondent à différents niveaux d’information et d’accès fournis aux pentesters.
Le choix de l’approche d’un test d’intrusion dépend de vos objectifs : quel niveau de profondeur voulez-vous ? Et souhaitez-vous tester la menace externe ou la menace interne ?

Définir le scope d’un pentest est une étape délicate. Quelle sera la cible du pentest ? Plus précisément, quels aspects fonctionnels et techniques faut-il tester en priorité ? De plus, quel degré de profondeur et quelle fréquence de pentest sont à recommander ?

Le numérique est devenu central pour le secteur de la santé. Cela concerne toutes les activités, des admissions de patients à la gestion des prescriptions jusqu’au contrôle de l’environnement matériel. Dans ce contexte, les risques de cybersécurité se sont également répandus. Effectuer un audit de sécurité permet d’évaluer concrètement les risques pour chaque établissement ou entreprise dans le domaine de la santé.

Voici un panorama des enjeux de cybersécurité que nous rencontrons fréquemment et qui peuvent être des points d’attention lors d’un pentest. Si la protection des données est un enjeu majeur, d’autres risques liés au matériel et à l’infrastructure informatique sont aussi des points de préoccupation récurrents.

Les fintech sont des entreprises généralement plus exposées aux risques et plus matures que la moyenne en matière de cybersécurité. La nature de leurs activités implique la nécessité de prendre en compte les risques de fraude et de cyberattaques dès la conception d’un nouveau produit.

Le pentest vient ensuite confronter les choix de sécurité et les protections mises en place avec la menace réelle. Selon la nature du produit (solution de paiement, plateforme de crédit, gestion bancaire, private equity, etc.), les enjeux métiers seront différents. Voici cependant quelques détails sur les principaux risques et les priorités de pentest les plus fréquentes d’après notre expérience auprès de fintech.