Interface d’administration, back-office, tableau de bord (dashboard), panneau administrateur… plusieurs noms pour la même chose : l’endroit où les organisations gèrent leurs données, supervisent leur activité sur une plateforme web, répondent aux demandes de leurs clients, activent les comptes utilisateurs, configurent des articles pour une plateforme e-commerce…

Lorsque l’on pense à la sécurité des plateformes web, le back-office n’est pas forcément la priorité, pour plusieurs raisons. L’accès à ce type d’application est normalement restreint, aux services internes de l’organisation, et parfois à des tiers, supposés de confiance.

La sécurité, c’est primordial, et vous êtes d’accord avec ça. D’ailleurs, vous voulez faire un test d’intrusion (ou pentest) sur votre solution d’ici peu… Voici 7 questions pour vous aider à obtenir le meilleur d’un test d’intrusion.

1 – Faut-il réaliser le test d’intrusion sur l’environnement de production ?

Réaliser un test d’intrusion sur l’environnement de production a un avantage certain : l’audit est effectué dans les conditions réelles d’utilisation de votre site web, application web, API…  avec les dernières évolutions mises en place.

« Tout le succès d’une opération réside dans sa préparation », Sun Tzu. Déjà vraie au VIe siècle av J-C, cette maxime l’est toujours au XXIe siècle. Et les pirates informatiques l’ont bien intégrée à leur stratégie.

Avant de lancer leur attaque, ils vont ainsi répertorier toutes les informations disponibles sur internet concernant leur cible. En effet, la transformation numérique apporte des avantages à une organisation, mais elle rend également de nombreuses informations visibles depuis l’extérieur à qui sait où chercher, ou même simplement regarder. Ces informations aident ensuite les personnes mal intentionnées à adapter leurs attaques à la cible.

Heureusement, cette situation n’est pas une fatalité. Chaque entreprise peut cartographier son empreinte numérique, pour ensuite contrôler et limiter les informations visibles. C’est ce à quoi consiste un audit de reconnaissance.

Mis à jour 1. Déc 2020

Plus de 2 ans après l’entrée en vigueur du RGPD (le 25 mai 2018), des sanctions ont été prononcées par plusieurs organismes de protections des données. Ces sanctions ont des répercussions importantes, économiques mais surtout pour l’image des entreprises concernées, car elles sont communiquées publiquement.

Si les grands principes du RGPD sont généralement connus, les mesures techniques principales à mettre en place pour sécuriser un site ou un système d’information restent encore parfois floues. Pour y remédier, nous détaillons dans cet article tous les aspects de sécurité technique du RGPD.

A la suite d’un audit de sécurité, des vulnérabilités vous ont été signalées. Faille critique, importante, moyenne : savez-vous comment cela est établi ? Nous vous détaillons notre méthodologie, basée sur celle de OWASP*, pour estimer la sévérité des risques d’une vulnérabilité.

Le phishing a beaucoup évolué. Alors que l’email frauduleux était auparavant facilement repéré par ses nombreuses fautes d’orthographe et par les demandes ou menaces exagérées (versement immédiat d’argent, compte intégralement effacé, etc.), il reprend aujourd’hui les codes d’organismes de confiance. De plus, le phishing implique désormais des demandes personnalisées ou des interlocuteurs connus de la personne attaquée (responsables hiérarchiques par exemple), ce qui le rend plus difficile à détecter.

Le phishing consiste à interagir avec des emails piégés. Il s’agit de la méthode la plus couramment utilisée pour l’ingénierie sociale, une branche de la cyber-criminalité.
L’ingénierie sociale cible le comportement humain. Elle a pour but d’amener un utilisateur à dévoiler des informations confidentielles et à réaliser des actions néfastes pour soi-même ou pour un organisme auquel il appartient. Vous pouvez sensibiliser vos équipes à ce risque en réalisant un audit d’ingénierie sociale.

Nous verrons dans cet article comment déjouer les différents stratagèmes du phishing, qui peuvent échapper même aux utilisateurs avertis et vigilants.

[Article mis à jour le 8 nov 2022]

Avez-vous utilisé des google dorks aujourd’hui ? Si vous avez tapé un mot entre guillemets ou bien associé deux termes avec AND, alors la réponse est oui.

Les google dorks sont des opérateurs de recherche avancés qui aident à mieux cibler les informations recherchées.

Ils permettent même de découvrir des vulnérabilités et de renforcer votre sécurité, voyons comment.