Gifted
Accueil/
Blog/
Pentesting/
Ce que vous devez savoir .../

Ce que vous devez savoir sur le pentesting de plateforme SaaS

Le recours accru à des tiers, à juste titre, conduit de nombreuses organisations à remettre en question la sécurité des données détenues sur ces plates-formes et des assurances sont demandées au fournisseur SaaS qu'une protection adéquate est en place.

Temps de lecture : 6 minutes

Le logiciel en tant que service (SaaS) a révolutionné l'entreprise moderne. Les systèmes backend qui vivaient autrefois sur un serveur dans le coin du bureau, devenant progressivement plus lents et moins entretenus au fil des ans, appartiennent au passé pour de nombreuses organisations. De nombreuses entreprises font désormais confiance à des applications SaaS tierces avec des fonctions commerciales critiques telles que la comptabilité, la paie, l'ERP et bien d'autres.

  1. Qu'est-ce qu'un test d'intrusion (pentesting) pour plateforme SaaS ?
  2. Niveaux de test de sécurité lors du pentest de votre application SaaS
  3. Quels sont les avantages de faire faire le pentest de votre plateforme SaaS par GIFTED ?
  4. Comment faire un test d'intrusion de votre application SaaS ?
  5. Pentesting de votre plateforme SaaS : GIFTED, agence de pentesting à Reims vous accompagne

Qu'est-ce qu'un test d'intrusion (pentesting) pour plateforme SaaS ?

Un test d'exploitation des défenses de sécurité des plates-formes SaaS. Parfois appelé "piratage éthique", l'objectif des tests d'intrusion est d'évaluer la résilience de l'application cible aux attaques techniques et de fournir des recommandations personnalisées sur les domaines qui pourraient être améliorés. En utilisant les mêmes techniques que les hackers criminels, nos consultants recherchent des moyens d'obtenir un accès non autorisé aux données stockées dans le système SaaS.

Nous alignons notre méthodologie de test de sécurité des applications sur la norme de vérification de la sécurité des applications OWASP. Il y a deux raisons principales à cela :

  1. C'est bon
  2. Cela donne une clarté supplémentaire et indépendante sur ce qui sera livré.

Ceci est particulièrement utile si vous faites effectuer un test d'intrusion pour satisfaire un tiers, ce qui est très souvent le cas lorsque nous testons des applications SaaS.

Niveaux de test de sécurité lors du pentest de votre application SaaS

Niveau 1 - Opportuniste

La cible est examinée pour détecter des faiblesses faciles à découvrir et à exploiter, telles que celles trouvées dans le Top Ten de l'OWASP, qui seraient ciblées par des attaquants opportunistes qui manquent de ressources, de compétences, de motivation ou de temps pour rechercher des vulnérabilités plus difficiles.

Niveau 2 - Standard

La cible est examinée pour voir si elle résistera à la plupart des risques de sécurité associés aux logiciels actuels. Ce niveau de test est généralement requis pour la plupart des systèmes d'entreprise, des normes de conformité et d'autres plates-formes qui traitent des informations sensibles telles que des données personnelles ou financières.

Niveau 3 - Avancé

Ce niveau est généralement réservé aux systèmes qui nécessitent le plus haut niveau d'assurance, où une compromission pourrait entraîner un impact critique. À ce niveau, les types de menaces devraient être déterminés et potentiellement bien financés. Les tests de sécurité ne suffisent pas à eux seuls à fournir une vérification et nous chercherons à examiner l'architecture, le code, les processus de gestion et d'autres facteurs de support du système afin de fournir un aperçu approfondi du risque du système.

Si vous avez besoin de quelque chose de plus ciblé ou sur mesure, ce n'est pas un problème. Par exemple, vous avez peut-être récemment déployé une nouvelle fonction de connexion et souhaitez une assurance sur cet élément uniquement. Tous nos engagements sont construits autour de vos besoins, alors faites-nous savoir ce dont vous avez besoin .

Quels sont les avantages de faire faire le pentest de votre plateforme SaaS par GIFTED ?

Assurance

Les tests de sécurité vous aident à vous assurer de votre risque. Tout doit être codé et configuré correctement et en toute sécurité, mais les tests garantissent qu'aucune erreur n'a été commise.

Conformité

Les tests d'intrusion sont requis par un certain nombre de normes de conformité telles que PCI DSS. Nos services de test de sécurité peuvent vous aider à atteindre ou à maintenir la conformité.

Rentabilité

Des tarifs raisonnables, une approche pragmatique et des recommandations qui font la différence contribuent à une solution globale rentable. Profitez d'un contrat de Managed Security Testing et bénéficiez d'un retour sur investissement encore meilleur.

Amélioration continue

Chaque rapport contient une analyse des causes profondes et, si vous souscrivez à un contrat de test de sécurité géré, nous pouvons vous aider à mettre en œuvre un cycle d'amélioration continue axé sur vos problèmes spécifiques.

Comment faire un test d'intrusion de votre application SaaS ?

Portée

Un flux de processus d'engagement typique peut être vu ici. La partie la plus importante lors de l'examen d'un test d'intrusion est de bien choisir la portée.

Dans certains cas, cela est relativement simple car il se peut que vous ayez besoin de tester un seul système ou une seule application dont les limites sont clairement définies. Dans d'autres cas, la portée sera plus complexe. Un bon exemple de cela est lors de la réalisation d'un test d'intrusion pour répondre à l'exigence 11.3 de la norme PCI DSS, qui nécessitera que nous vérifiions que la portée des tests couvre réellement tous les systèmes concernés.

Pour des exigences simples, nous pouvons généralement définir la portée d'un test avec précision via un appel téléphonique ou un e-mail, des tests plus complexes nécessiteront un formulaire de cadrage à remplir.

Une description plus détaillée des étapes d'un engagement de test d'intrusion SaaS typique peut également être trouvée dans la section ci-dessous.

Livraison

La communication est essentielle à la réalisation d'un bon engagement de test de sécurité. Vous serez affecté à un chef de projet qui s'occupera de toute la logistique des tests avec vous et vous donnera un point de contact si vous avez besoin de discuter de quoi que ce soit. Nous vous tiendrons au courant tout au long des tests si nécessaire et un appel gratuit entre nos consultants et les parties concernées de votre organisation peut être programmé une fois que vous aurez examiné le rapport détaillé fourni. Cela vous donne l'occasion de discuter plus en détail des conclusions et des recommandations et d'évaluer plus en détail votre meilleur plan d'action.

Test de sécurité des applications avec le code source

Plus tôt, nous avons souligné les différents niveaux de test auxquels nous travaillons généralement - Opportuniste, Standard et Avancé - mais, en ce qui concerne les tests de sécurité des applications, il est toujours possible de nous donner accès au code source pendant le test.

Souvent appelés tests en boîte blanche, ces tests permettent à nos consultants d'obtenir une couverture beaucoup plus large et plus approfondie d'une application dans le même laps de temps. En effet, les problèmes suspects peuvent être vérifiés plus rapidement et recherchés dans d'autres parties du code. La majorité des tests que nous effectuons de nos jours sont effectués de cette manière.

Le code source est stocké conformément à nos exigences de sécurité des informations ISO27001 et est supprimé en toute sécurité une fois la mission terminée.

Pentesting de votre plateforme SaaS : GIFTED, agence de pentesting à Reims vous accompagne

Chez GIFTED, le pentesting se déroule en quatre étapes :

  1. Pré-test
    • Confirmation de la portée
    • Processus d'escalade convenu
    • Autorisation d'essai
    • Exigences de communication convenues
  2. Tests
    • Énumération
    • Identification des vulnérabilités
    • Exploitation
    • Post-exploitation
    • Mises à jour régulières des tests comme convenu
  3. Rapport
    • Rapport rempli par le testeur principal
    • Problèmes classés par impact et exploitabilité
    • Analyse de la cause originelle
    • AQ interne avant émission
  4. Examen
    • Nettoyage en option
    • Assistance post-test pour les recommandations
    • Organiser un nouveau test si nécessaire