Service de validation de la sécurité (tests d’intrusion)
Applications, infrastructures, processus et comportements
Vous développez ou intégrez de nouvelles applications d’affaires et vous souhaitez en valider la sécurité? Vous voulez vous assurer que vos investissements et que les mesures en sécurité déployées ces dernières années sont efficaces? Vous voulez savoir si votre programme de sensibilisation a porté fruit?
Validité du code des applications Web
Avant de mettre en service une application Web, souhaitez-vous vous assurer qu’elle n’introduise aucune vulnérabilité importante et qu’elle respecte vos critères de sécurité?
Notre équipe d’experts valide le code et détecte toutes les vulnérabilités. Réalisée suivant la méthode OWASP, notre analyse combine tests manuels et tests automatisés.
Nos tests visent à la fois les services Web (manipulation des paramètres, injection SQL, XSS, XSRF, contournement de l’authentification, piratage de sessions) et les failles logiques (erreur de programmation et étanchéité des sessions).
Architectures visées
•
Technologies 2.0 Web Service/SOAP, JavaScript, Ajax
•
Applications Web en PHP, ASP, .NET, JSP, Servlet, CGI
•
Serveurs Apache, IIS, Tomcat, Coyote
•
Bases de données MySQL, MSSQL, Oracle, Sybase
Validation intégrale
Vos mesures de sécurité protègent-elles adéquatement les données sensibles et systèmes critiques? Quoi de mieux que de tester les mesures de sécurité en place pour en avoir le cœur net?
À l’issue de nos tests, vous recevez un rapport complet regroupant un sommaire de gestion, les résultats de tests détaillés et nos recommandations de correctifs et d’améliorations.
Le périmètre des tests peut englober jusqu’à plusieurs centaines de systèmes (services informatiques internes et externes).
Systèmes, infrastructures, applications et processus visés :
•
Applications Web
•
Services de messagerie
•
Systèmes d’exploitation
•
Systèmes de télécommunications
•
Bases de données
Validation des comportements
Vos employés ont-ils intégré vos enseignements lors de votre campagne de sensibilisation? Manipulés par des techniques d'ingénierie sociale, ils risquent de se faire extorquer les données nécessaires au contournement des dispositifs de sécurité. Notre service de validation des comportements permet de mesurer l’adoption de comportements sécuritaires par vos utilisateurs.
À l’issue de notre évaluation, vous recevez un rapport qui vous permettra de mesurer les retombées de vos activités de sensibilisation à ce jour, ou encore de justifier, preuves à l’appui, un budget pour démarrer un programme de sensibilisation.
Comportements validés des employés :
•
Hameçonnage (phishing)
•
Communications sur le Web
•
Contacts par téléphone
•
Contacts directs
•
Destruction des papiers importants
Pourquoi des services de validation?
•
Pour valider la sécurité de nouvelles applications d’affaires fraîchement développées et intégrées
•
Pour mesurer les résultats des investissements en sécurité et l’efficacité des mesures déployées
•
Pour mesurer les fruits d’un programme de sensibilisation ou évaluer la nécessité d’en mettre un sur pied
•
Pour se conformer aux exigences de normes
telles que PCI-DSS
Avantages de nos services de validation
•
Évaluation des aspects technologiques, des processus et des comportements
•
Indépendance garante de l’objectivité, de l’intégrité, de l’exhaustivité et de la rigueur des tests
•
Recommandations de stratégies pour améliorer l’efficacité des mesures de sécurité
•
Tests intégrant les pratiques mondialement reconnues telles que OWASP et OSSTMM
Saviez-vous que
•
80 % des organisations auront un incident de sécurité d’application d’ici 2010. (Source : Gartner)
•
78 % des applications Web affectées de vulnérabilités sont facilement exploitables. (Source : Symantec)
•
91 % des sites contiendraient au moins une vulnérabilité.
(Source : WhiteHat Security)
Les services de validation sont le fruit d’une alliance entre :
