Un audit de sécurité peut servir plusieurs objectifs, dont celui de communiquer à des tiers qu’un système est sécurisé.
La demande de sécurité peut provenir de la direction, d’un investisseur, d’un partenaire ou d’un client. Certains acheteurs exigent des preuves que des tests d’intrusion sont conduits régulièrement sur une solution logicielle avant de conclure un contrat.
D’autres acheteurs seront sensibles à une forme de label de sécurité, lors du choix d’une solution ou d’un fournisseur informatique.
Vaadata peut délivrer un sceau de sécurité ou un certificat d’audit de sécurité, suite à un pentest. Pour une entreprise, il s’agit de livrables plus accessibles que l’obtention d’une certification (ISO27001, SOC2, PCI-DSS …). Par ailleurs, conduire un pentest fait partie des bonnes pratiques sécurité, en vue d’obtenir par la suite une certification.
Les sceaux de sécurité délivrés par Vaadata peuvent être intégrés sur un site web, sur des propositions commerciales, sur des espaces en ligne réservés à des clients, etc.
Il s’agit de valoriser le fait d’avoir effectué ou d’effectuer régulièrement des pentests.
Vaadata propose quatre types de sceaux.
Le certificat d’audit de sécurité est un document pouvant être communiqué auprès de clients et de partenaires.
Il s’agit d’un certificat privé, permettant de prouver qu’un pentest conduit par un tiers de confiance a été réalisé.
Il vient attester qu’une plateforme ou une solution digitale a été auditée de façon exhaustive, et que toutes les failles ayant pu être identifiées ont ensuite été corrigées. Le certificat atteste donc d’un niveau de sécurité atteint à sa date de délivrance.
Il est délivré par Vaadata suite à un audit de sécurité intégral certifiant.
Le livrable principal est le rapport d’audit de sécurité. Celui-ci contient des informations hautement confidentielles (détails des vulnérabilités identifiées pendant le pentest). Cependant, le rapport ou certains de ses extraits peuvent être communiqués à des partenaires ou à des clients.
Si le rapport d’audit de sécurité n’est pas suffisamment « positif » pour être communiqué, il est possible de conduire une phase de validation des corrections permettant d’attester que les failles de sécurité identifiées ont bien été corrigées. Ou de conduire un nouvel audit sur le même périmètre, afin d’obtenir un rapport d’audit plus valorisant pour être communiqué à des tiers.