Une fois que vous avez décidé de faire un pentest (test d’intrusion), vous pouvez vous demander s’il doit cibler votre environnement de production.
Selon les risques, il peut être justifié de conduire l’audit de sécurité sur l’environnement de production, ou sur un environnement de test. Vous trouverez ci-dessous un résumé des avantages et des inconvénients de chacune de ces possibilités.
25 pages pour connaître les vulnérabilités courantes et exploitables sur les technologies sans fil de l’IoT, ainsi que les moyens pour les contrer ou pour réduire les risques.
Avant de démarrer un test d’intrusion (pentest), faut-il présenter votre produit ou votre solution aux pentesters (spécialistes en charge des audits de sécurité) ? Tout dépend de votre situation et de vos objectifs !
Quand on parle de cyberattaques, on pense souvent à des activités malveillantes provenant d’attaquants externes à l’entreprise, alors que les attaques informatiques internes sont en forte progression. Dans le Insider Threat Report 2019, on y apprend que 59% des entreprises sondées aurait subi une attaque de ce type durant l’année écoulée.
Se protéger de l’intérieur contre ces attaques est donc tout aussi important que de se défendre contre des attaques externes.
Nous conduisons régulièrement des pentests d’ingénierie sociale pour nos clients. Nos pentesters (experts en cybersécurité) ont testé différentes techniques, différents scénarios et prétextes.
Nous avons tiré des leçons de notre expérience, et nos clients nous ont fait part ce qu’ils ont appris également ; ce que nous vous partageons ci-dessous.
L’un et l’autre sont considérés comme les meilleurs alliés des RSSI (et en général des personnes en charge de la sécurité). Ils sont toutefois deux outils différents dans une stratégie de sécurité. Quelles sont les différentes caractéristiques d’un pentest (test d’intrusion) et d’un scanner de vulnérabilités ?
C’est une question que nous entendons souvent. Malheureusement, nous n’avons pas de formule ROI toute faite à vous révéler. Le retour sur investissement d’un test d’intrusion est complexe à évaluer. Cependant, nous vous donnons 4 clés pour démontrer l’intérêt financier d’un pentest. La sécurité ne sert pas seulement à éviter d’éventuels problèmes, elle crée surtout de la valeur pour faciliter les ventes et renforcer la confiance de vos clients.
Interface d’administration, back-office, tableau de bord (dashboard), panneau administrateur… plusieurs noms pour la même chose : l’endroit où les organisations gèrent leurs données, supervisent leur activité sur une plateforme web, répondent aux demandes de leurs clients, activent les comptes utilisateurs, configurent des articles pour une plateforme e-commerce…
Lorsque l’on pense à la sécurité des plateformes web, le back-office n’est pas forcément la priorité, pour plusieurs raisons. L’accès à ce type d’application est normalement restreint, aux services internes de l’organisation, et parfois à des tiers, supposés de confiance.
La sécurité, c’est primordial, et vous êtes d’accord avec ça. D’ailleurs, vous voulez faire un 
test d’intrusion (ou pentest) sur votre solution d’ici peu… Voici 7 questions pour vous aider à obtenir le meilleur d’un test d’intrusion.
Réaliser un test d’intrusion sur l’environnement de production a un avantage certain : l’audit est effectué dans les conditions réelles d’utilisation de votre site web, application web, API… avec les dernières évolutions mises en place.
« Tout le succès d’une opération réside dans sa préparation », Sun Tzu. Déjà vraie au VIe siècle av J-C, cette maxime l’est toujours au XXIe siècle. Et les pirates informatiques l’ont bien intégrée à leur stratégie.
Avant de lancer leur attaque, ils vont ainsi répertorier toutes les informations disponibles sur internet concernant leur cible. En effet, la transformation numérique apporte des avantages à une organisation, mais elle rend également de nombreuses informations visibles depuis l’extérieur à qui sait où chercher, ou même simplement regarder. Ces informations aident ensuite les personnes mal intentionnées à adapter leurs attaques à la cible.
Heureusement, cette situation n’est pas une fatalité. Chaque entreprise peut cartographier son empreinte numérique, pour ensuite contrôler et limiter les informations visibles. C’est ce à quoi consiste un audit de reconnaissance.