Pourquoi pentester vos applications Web?
Les applications Web sont au centre de la plupart des processus d’affaires, car elles permettent de briser les barrières géographiques aux niveaux de service offerts aux clients et d’élargir ainsi le portefeuille de services et d’augmenter les revenus. Pour être opérationnelles, ces applications utilisent des infrastructures informatiques exposées à des risques de sécurité Web. En conséquence, ils sont soumis à de multiples attaques, y compris les attaques par Injection (SQL, Script, Commande OS, etc.), XSS, Force brute, Contournement des mécanismes d’authentification et Élevation de privilèges.
Avant de migrer des applications Web en production, il est fortement recommandé de procéder à des tests de pénétration afin de s’assurer qu’ils ne sont pas vulnérables aux menaces Web. Les tests de pénétration devraient être effectués régulièrement, car les applications Web sont constamment attaquées par des criminels et de nouvelles vulnérabilités sont découvertes chaque jour.
Ce que CAPTOSEC offre
Nous combinons des outils sophistiqués et les meilleurs, l’expertise et l’expérience de nos professionnels pour évaluer et valider la sécurité de vos applications Web. En outre, nous utilisons les recommandations fournies par OWASP Top 10 comme base. Ce faisant, nous aidons nos clients à identifier les failles de sécurité et à les corriger avant toute attaque.
Afin de s’assurer que les vulnérabilités des applications Web sont bien gérées, nous réalisons une variété d’activités:
+ Identifier et analyser les vulnérabilités (manuellement et / ou automatiquement)
+ Éliminer les faux positifs générés par les outils automatisés+ Test de régression de sécurité avec ZAP
+ Tester et valider chaque vulnérabilité
+ Classifier les vulnérabilités en fonction du niveau de gravité (faible, moyen, élevé)
+ Expliquer et démontrer aux propriétaires d’applications et de systèmes comment chaque vulnérabilité peut être exploitée par des pirates
+ Fournir des recommandations pour l’atténuation
+ Surveiller et suivre l’évolution des vulnérabilités et maintenir l’historique
+ Test à boite blanche – nos analystes ne disposent pas d’information sur vos infrastructures TI. En d’autres termes, ils agissent comme un pirate
+ Test à boite grise – nos analystes disposent de quelques informations sur vos infrastructures TI
+ Test à boite blanche – nos analystes disposent un peu plus informations sur vos infrastructures TI
+ Recommandations des mesures correctives
+ Rapport de test d’intrusion
+ Preuves collectées
+ Détecter et corriger des attaques zero-day
+ Améliorer la sécurité de l’information au sein de
l’organisation
+ Respect de conformité aux normes, lois et règlements (ex. PCI-DSS)
