Depuis plus de 15 ans Niwanet accompagner ses clients dans leur démarche d’infogérance.

Informations

Contacts

16, rue de la planchonnais, 44980 Sainte Luce sur Loire

Support@niwanet.net

09 70 75 46 28

Twitter Facebook-f Pinterest-p Instagram

Sécurité


Sécurité web, pourquoi protéger son site ?

Cadenas de sécurité

 

Selon des statistiques de University of Maryland, une cyber-attaque a lieu toutes les 39 secondes dans le monde, ce qui représente 2 244 attaques par jour. En 2018, 8 entreprises sur 10 ont déjà été confronté à une attaque informatique et 60% des PME/PMI victimes de cyberattaques seraient contraintes de déposer le bilan dans l’année. Les données de santé valent de l’or. En effet, les données médicales sont revendues 3 fois plus chères que les données « classiques » sur le dark web. Ces dernières peuvent permettre des campagnes de phishing, des usurpations d’identité, des extorsions de fonds et bien d’autres escroqueries.

Et ces attaques ne touchent pas seulement les petites entreprises, par exemple en mai 2019 Bob Diachenko, fondateur de la société de cyber sécurité Security Discovery, a découvert qu’un serveur utilisé par un organisme d’Etat au Panama, n’était pas correctement sécurisé. Ce serveur contenait des informations sur 3.42M de citoyens panaméens. Le pays comptant 4.03M d’habitants, c’est 85% de la population qui a vu son dossier médical exposé sur internet. La fuite de ces données est donc extrêmement critique pour les entreprises, c’est pour cela qu’il est recommandé aux entreprises de faire appel à des auditeurs en sécurité.  C’est une assurance d’un niveau de sécurité satisfaisant pour votre infrastructure  et un gage de confiance auprès des clients. La demande des entreprises en matière de sécurité va naturellement augmenter, c’est la raison pour laquelle Niwanet propose des audits de sécurité à ses clients. 

Audit de sécurité ou "Pentest"

Un test d’intrusion appelé plus communément « pentest », pour « penetration test » en anglais est une méthode d’évaluation de la sécurité d’un système d’information ou d’un réseau informatique ; il est réalisé par un testeur (« pentester », en anglais). Les audits de sécurité, ou pentests, peuvent être réalisé sur tout type de périmètre. Par exemple une entreprise peut choisir d’auditer tout son réseau interne, ou son réseau cloud ou encore un site web ou seulement une application. Tout dépend des besoins de l’entreprise auditée.

Il existe différents type d’audit : Les audits « Blackbox » et les audits « whitebox ». Un audit BlackBox se déroule sans aucune information sur le système d’information audité, de ce fait le test se déroule de la même façon qu’une vraie attaque par un hacker.  Alors que lors d’un test d’intrusion de type « White Box », l’auditeur aura un accès complet à l’architecture et aux serveurs, aux configurations des machines, compte utilisateur, etc. Cet audit est plus facile et moins long pour l’auditeur car il prend moins de fausse pistes du fait de sa connaissance du SI.

 

Vous souhaitez en savoir plus ?

Test d'intrusion: Déroulement

Un test d’intrusion se découpe en plusieurs phases. Il débute toujours par la phase de pré engagement, cette étape est appelée la réunion de pré engagement, à l’issue de laquelle un contrat de pré engagement est défini en collaboration avec le client. Il s’agit d’un document de cadrage pour le test (périmètre à auditer, durée, type d’audit, etc.).

Ensuite vient la phase de récupération d’information, elle consiste à recueillir des données et renseignements sur le système cible. Les sources d’informations peuvent varier selon le type du pentest. En effet, en mode « White Box » cette étape se résume souvent à lire et comprendre les documents envoyés par l’entreprise cible.

Ensuite vient la phase d’exploitation, qui correspond à la recherche de vulnérabilité grâce aux précieuses informations récupérées. L’auditeur de met dans la peau d’un hacker, d’un client, d’un employé, d’un fournisseur pour tester chaque faille potentielle.

Pour finir, l’ultime étape, celle de la création d’un rapport, qui sera communiqué au client. Il comporte une partie qui résume les failles trouvées et le niveau de sécurité globale du système d’information, et une partie technique qui détail les caractéristiques de la faille, son impact, si possible un Poc (« Proof of concept ») ainsi que des préconisations pour apporter des correctifs de sécurité.

Concept de sécurisation informatique

Surveillance et maintenance : anticiper et contrer les cyberattaques

Les cyberattaques peuvent arriver à n’importe quel secteur et entreprise et souvent malheureusement au moment où l’on s’y attend le moins (noël, vacances, événement interne à l’entreprise). Cependant il est possible de mettre en place des choses pour réduire l’impact d’une cyberattaque.

En effet, l’adoption de bonnes pratiques en matière de sécurité informatique, de séances de sensibilisation périodique des utilisateurs et plus particulièrement les utilisateurs possédant des droits importants dans le système (par exemple les membres de la direction et les membres de l’équipe technique ou les développeurs) et la réalisation d’audit de sécurité sur les périmètres les plus critiques permettent de contrer les attaques ou au moins baisser l’impact.

Les failles de sécurité à éviter

  1. L’OWASP (pour « Open Web Application Security Project ») publie tous les ans un Top 10 des failles applicative web les plus utilisées.

Ce classement a pour but premier d’éduquer les développeurs, concepteurs, architectes et entreprises sur les conséquences des vulnérabilités de sécurité les plus communes des applications web. La sécurité n’est pas un évènement ponctuel, sécuriser votre code juste une fois ne suffit pas car les techniques et les ressources des hackers sont de plus en plus complexes. 

Pare-feu de sécurité

  1. Voici le Top 10 de l’année 2021 :

    1. Injection
    2. Broken authentication
    3. Sensitive data exposure
    4. XML external entities (XXE)
    5. Broken access control
    6. Security misconfigurations
    7. Cross site scripting (XSS)
    8. Insecure deserialization
    9. Using components with known vulnerabilities
    10. Insufficient logging and monitoring

 

 

Cependant ce classement ne prend en compte que les failles Web et pas les failles systèmes et le social engineering (le fait d’abuser de la confiance d’une personne dans le but d’atteindre un objectif). 

Logo traefik
Logo pfsense
Logo Linux
Logo Ansible
Logo graylog
Logo VMWare
Logo Zabbix
// NIWANET

Votre partenaire pour
héberger les données de santé

Niwanet, expert en Infogérance et hébergement accompagne ses clients et partenaires depuis plus de 10 ans : Expert VMware Hébergement données de santé, certifié ISO 27001, certifié HDS, réalisation d’infrastructure cloud, migration PCC…

Expérience

Notre équipe compte plus de 10 ans d'expérience dans le domaine de l'infogérance.

Support 24/7

L'équipe Niwanet reste constamment à votre disposition pour vous accompagner.

Nous contacter
Conseil
Un conseil adapté, personnalisé selon vos besoins, accompagnement dans vos migrations, vos infrastructures..
En savoir plus
Sauvegarde, PRA
Afin d'assurer sécurité de vos données, Plan de reprise d'activité de vos systèmes de management de la sécurité
En savoir plus
Support
Des équipes dédiées à votre écoute du lundi au vendredi de 9h à 18h et un accès au support mail 24 H sur 24.
En savoir plus
Monitoring, astreinte
Une supervision 24/7 de vos services, applications et serveurs afin de vous assurer sécurité et sérénité, remontée des alertes...
En savoir plus