Deloitte: Scan de sécurité HelloID
Deux fois par an, les experts de Deloitte testent la sécurité de notre service HelloID. Le test récent a montré que le niveau de sécurité HelloID est élevé. Pour Tools4ever, il s’agit toujours d’une étude importante qui nous tient au courant et nous encourage à continuer d’améliorer nos technologies et nos services. Il est bien sûr également bon pour nos clients de savoir que tous les 6 mois, des spécialistes indépendants regardent la solution HelloID d’un œil critique afin que nous découvrions les vulnérabilités possibles avant qu’elles ne puissent vraiment nuire.
Pourquoi confier la recherche à des « hackers éthiques » externes ?
Tools4ever compte un grand nombre d’experts en sécurité dans ses propres rangs. Ce n’est pas pour rien que nous sommes un développeur de produits de gestion des identités et des accès. Naturellement, nous permettons également à nos experts de tenter régulièrement d’attaquer nos propres solutions de l’intérieur. Néanmoins, nous pensons qu’il est important qu’un partenaire extairen examine systématiquement et de manière critique nos systèmes.
Avec les hackers éthiques de Deloitte, nous avons opté pour des experts en sécurité indépendants et hautement qualifiés garantis. Des experts dont l’intégrité est également garantie par Deloitte. Car, bien sûr, nous voulons non seulement une certitude sur la qualité des tests de sécurité, mais aussi sur la fiabilité des testeurs. Pour que vous, en tant que client, sachiez avec certitude que les résultats des tests ne sont en aucun cas mal utilisés.
Portée des tests de sécurité HelloID
L’enquête de 6 mois n’est pas un « tigre de papier ». Ce n’est pas seulement une revue documentaire de la conception et des spécifications de HelloID. L’enquête concerne en fait des tentatives de hackers éthiques professionnels d’attaquer le système. Les hackers éthiques sont formés pour regarder les systèmes informatiques avec les yeux d’un cybercriminel aguerri et pour reconnaître les vulnérabilités que d’autres peuvent regarder. Ils utilisent entre autres les directives NCSC ICT-B v2 et les 10 principaux risques de sécurité des applications OWASP de 2013 et 2017.
Le test inclut naturellement les tests de blackbox traditionnels. Ces tests visent à pénétrer le système et à accéder aux fonctionnalités et aux données sans connaître le système. Avec notre test de sécurité d’application, cependant, les testeurs vont explicitement plus loin et effectuent des tests dits de boîte grise. Un test de boîte grise recherche également des failles de sécurité dans des parties spécifiques de HelloID, où les pirates reçoivent des informations sur le fonctionnement interne du logiciel. Enfin, les possibilités offertes aux utilisateurs autorisés au sein du système sont examinées. Peuvent-ils faire plus que ce qui est réellement prévu ? Très important, bien sûr, car nous savons que beaucoup de fraudes et de cybercrimes ont lieu au sein des organisations elles-mêmes. Ainsi, chez HelloID, non seulement nous testons la qualité de la porte d’entrée, mais nous examinons également la sécurité de l’application si quelqu’un est légalement à l’intérieur.
Les tests eux-mêmes couvrent toute l’étendue des vulnérabilités possibles. Des notifications système potentiellement trop détaillées à la présence de vulnérabilités de script intersite (XSS).
Analyse des risques
Chaque vulnérabilité potentielle mise en lumière reçoit une qualification de risque qui nous aide à résoudre le problème avec la bonne priorité. Cette évaluation des risques découle de la probabilité qu’une vulnérabilité potentielle puisse être découverte et exploitée, et de l’impact si cela se produit réellement :
- La chance, par exemple, dépend de la complexité de la vulnérabilité en question.
- L’impact est l’étendue des dommages potentiels qu’une vulnérabilité peut causer. Cela fait évidemment beaucoup de différence, qu’il s’agisse d’une interruption de service à court terme ou d’une grave violation de données.
Nous recevons les risques faibles et moyens dans le cadre du rapport de test, après quoi nos experts commencent à travailler avec eux. Les risques élevés inattendus sont immédiatement remontés par les testeurs, afin que les experts de Tools4ever puissent aussitôt développer et déployer une solution. Heureusement, ces vulnérabilités sont rares.
À chaque test, il y a bien sûr des risques faibles et moyens. La technologie évolue constamment, tout comme les connaissances et les outils disponibles pour les parties malveillantes. Cela signifie que nous ne sommes jamais complètement prêts et que nous trouvons toujours des choses qui pourraient être encore améliorées. C’est la grande valeur ajoutée d’une telle analyse de sécurité semestrielle. Nous restons vigilants et maintenons le service HelloID à jour en termes de sécurité.
Vous voulez en savoir plus sur cette analyse de sécurité ?
Nous ne pouvons pas publier le contenu détaillé de nos analyses de sécurité. Nos clients voient cependant toujours son effet sous la forme d’ajustements, d’améliorations et de corrections de bugs dans nos release notes.
Tools4ever publie chaque mois les nouvelles fonctionnalités et mises à jour du logiciel HelloID. Voulez-vous rester informé ?
