SlideShare une entreprise Scribd logo

Outpost24 webinar - Quel est le coût réel d'un test d'intrusion face aux nouvelles cyber-menaces

Télécharger en tant que PPTX, PDF
Outpost24
Outpost24

Les tests d'intrusion sont, depuis longtemps, une méthode éprouvée qui simule une attaque contre les systèmes informatiques des entreprises afin de détecter les vulnérabilités exploitables avant tout le monde. Mais le prix en vaut-il la peine?

1  sur  27
Quel budget pour les tests d'intrusion face aux nouvelles cyber menaces ? Nicolas Renard Mai 2019
2 • Test d’intrusion – Définition et pourquoi il est important • Le coût réel d’un pentest • Test d’intrusion ‘Nouvelle génération’ • Nouveaux challenges – ce que le 21ème siècle vous réserve Agenda
3 • Siège social – Suède • Bureaux commerciaux – BeNeLux, Allemagne, Pays scandinaves, RU&I/France, USA • Partenaires MSSP et revendeurs à travers le monde • Plus de 130 employés • + 11M€ CA en 2018, soit 37% de croissance Qui est Outpost24 ?
Un test d’intrusion, couramment appelé pentest, est une cyber-attaque simulée et autorisée sur un système informatique, réalisée afin d’évaluer le niveau de sécurité du système. Le test est effectué pour identifier les faiblesses (également appelées vulnérabilités), y compris la possibilité pour des tiers non autorisés d'accéder aux fonctionnalités et aux données du système, ainsi que les forces, permettant ainsi de réaliser une évaluation complète des risques. - Source Wikipedia Il vous aide à comprendre la surface d’attaque de vos application et réseaux Test d’intrusion : qu’est-ce que c’est et pourquoi c’est important ? 4
Oui. Les bénéfices que vous pouvez en tirer sont très précieux • Trouver les « backdoors » – ou ce que vos outils automatisés manquent • Hiérarchiser les risques • Améliorer la détection et les alertes (Top 10 de l'OWASP 2017 A10) • Valider vos contrôles • Se conformer aux réglementations locales, nationales et internationales Il complète les zones non couvertes par vos tests automatisés Doit-on faire des tests d’intrusion ? 5
A quelle fréquence vos applications changent-elles ? Est-ce une application critique ? Est-il question de tester ponctuellement la conformité ou bien cela fait-il partie de tests à réaliser régulièrement dans le cadre d’un cycle de développement DevSecOps ? De nombreux clients effectuent un test d’intrusion une ou deux fois par an ou tous les trimestres, à la demande du secteur d’activité ou par un tiers. A quelle fréquence faire un test d’intrusion ? 6 Enquête : Combien de test d’intrusion par application, effectuez-vous annuellement ?
Le coût réel d’un test d'intrusion… 7
Ce que vous pensez payer 8 Un test d’intrusion total de 10 jours à un « tarif journalier » convenu (750 € à 1 000 € et plus) Test d’intrusion (10 jours / 7 500 €) €€
Mais vous avez oublié les coûts de préparation 9 Le coût journalier de votre personnel interne (500 €) Choix du prestataire, négociation du contrat (5 jours / 2 500 €) Appel d’offres (2 jours / 1 000 €) Planning, date de démarrage (2 jours / 1 000 €) Un test d’intrusion de 10 jours va réellement coûter entre 15 et 20 jours une fois le test effectué Test d’intrusion + préparation (10 + 9 = 19 jours / 12 000 €) + 4 500 € €€€€ + 9 jours
Et vos dépenses « après test » 10 Un test de 10 jours est plus proche des 8 jours : vous avez eu des retards, des incidents à gérer ainsi que la remise du rapport. Maintenant, vous avez un long chemin à parcourir avant de trouver une solution. Examen du rapport (3 jours / 1 500 €) Ajout dans le suivi des correctifs (2 jours / 1 000 €) Ajustements (1 – 2 jours / 500 €) Remédiation (10+ jours / 5 000 €) Préparation + Test d’intrusion (19 – 2 = 17 jours / mais le coût est toujours de 12 000 €) €€€€€€ Ajoutez 16 autres jours et 8 000 € = potentiellement 20 000 €
Appel d’offres Trouver un prestataire Choix de la portée du test Négociation du contrat Analyser le test Ajout au suivi des problèmes Remédiation Le coût réel d’un test d’intrusion 11 €€ €€€€ €€€€€€ Prix d’achat Coûts cachés
Pire encore….. Il n’offre que peu de valeur 12
13 Vous devez être prêt pour les testeurs • En cas de retard vous perdrez des jours de test La production est affectée • Les entreprises se plaignent. Vous devez recommencer. Vous perdez ½ jour et changez la portée du test Le testeur doit rédiger un rapport et vous présenter les résultats • Cela prend 1,5 / 2 jours pour délivrer Vos 10 j deviennent : 5 j de test, quelques jours d’attente, 1j pour rédiger un rapport et une réunion de clôture • Votre testeur a probablement utilisé des outils automatisés à 50%+ Vous n’obtenez pas ce pourquoi vous payez
14 Vous ne pouvez pas savoir si les corrections sont efficaces • Peut-être que votre scanner automatisé peut aider un peu Mais le DAST ne remplace pas vraiment les tests manuels • Ils ne s’adaptent pas à votre logique métier • Ils ne trouveront pas ce plugin vulnérable qui donne un accès administrateur à votre application • Ils pourraient exécuter une attaque « Buffer overflow » ou SQLi - endommageant votre application (vous pouvez blacklister ces pages de l'application mais cela affaiblira sa capacité à détecter les risques) • Ils généreront peut-être des faux positifs, ce qui pourrait vraiment rallonger les temps de correction. Cela vous laisse songeur
Vous considérez le « test » comme un nombre de « jours ouvrés ». C’est une mauvaise approche du budget. Vous passez à côté de tous les autres coûts - avant et après le test. Votre test est probablement automatisé à 50% avec une analyse des résultats, une journée pour les rapports et une journée pour la restitution Vous ne pouvez pas travailler sur la correction avant la fin du test (suivant les délais) et vous devez attendre que le rapport vous ait été remis Vous devrez probablement jongler avec des faux positifs, des résultats subjectifs et n’aurez aucun moyen réel d’interroger ou de clarifier les problèmes Vous ne pouvez pas facilement vérifier que vos équipes de développement ont résolu les problèmes signalés Cela vous coûte cher pour une valeur discutable 15 Et pourtant vous le faites encore
La définition de la folie, c’est faire la même chose à répétition et s'attendre à ce que les résultats soient différents 16 Albert Einstein
Test d’intrusion nouvelle génération 17
18
A. Ils voulaient un contrat unique, négocié au début d'une période de 12 mois pour couvrir tous les tests B. Ils voulaient annuler les tests si nécessaire - à la demande. C. Ils voulaient payer un prix fixe pour l’ensemble des tests D. Ils voulaient que ce soit flexible. S'ils ont besoin de plus, ils paient plus Que disent nos clients, vos homologues, sur la procédure ? 19
A. Ils ne voulaient pas avoir à définir le périmètre pour chaque application au préalable. B. Ils voulaient un test flexible, approfondi, atteignant l’objectif qu’ils se sont fixé. C. Ils ne voulaient pas s’inquiéter du nombre de « jours » D. Ils souhaitaient que les résultats soient présentés dans une seule interface utilisateur, avec une option d'intégration dans leurs outils CI / CD Que disent nos clients, vos homologues, sur la prestation 20
A. Ils ne voulaient pas de faux positifs. Tout ce qui est présenté dans l’interface graphique doit nécessiter une correction. B. Ils ne voulaient pas attendre la fin du test et la restitution pour commencer la correction C. Ils voulaient pouvoir poser des questions ou demander des éclaircissements au-delà de la durée du test D. Ils voulaient vérifier que leurs efforts de remédiation avaient été fructueux, au-delà de la durée du test E. Ils voulaient remplir la case à cocher « conformité » avec un rapport de test d'intrusion Que nous disent nos clients, vos homologues, sur la remédiation ? 21
22 Nous avons écouté. Nous avons construit. Nos clients sont venus Nous avons délivré : • Contrats annuels • Groupe de tests à la demande • Zéro faux positif • Découvertes postées directement sur l'interface utilisateur pouvant être corrigées pendant les tests • Accès direct aux analystes • Possibilité de demander la vérification des activités de remédiation Les clients économisent du temps et de l’argent tout en étant en mesure de demander des tests adaptés à leurs procédures SDLC et à leurs délais Si vous le construisez, ils viendront
Economisez votre temps et vos €€€ Maintenant ! 23
Les test d’intrusions traditionnels coûtent plus que vous ne le pensez 24 Ancien : coût caché pour chaque test Nouveau : coût fixé d’avance Ancien : vous testez quand vous pouvez, en interrompant le cycle de développement Nouveau : Test sur demande, inclus dans le cycle de développement Ancien : vous corrigez les failles bien après que les tests soient terminés Nouveau : vous corrigez au fur et à mesure que les tests se déroulent Ancien vs Nouveau €€
• Une poignée de main pour un prix fixe (pas de coût caché) • A la demande et flexible • Accès instantané, pas de retard, vous obtenez l'épisode dès qu'il est disponible • Excellente expérience de streaming (sans mise en mémoire tampon) • Excellent service client et facilité de contact avec des représentants compétents • Lecture et pause flexibles et satisfaction garantie Adoptez le modèle Netflix 25 • Contrat unique, une signature, durée de 12 mois • Groupe de test « à la demande » • Résultats en libre service disponibles tant que les tests sont toujours en cours (VIA UI) • Pas de faux positifs • Accès aux analystes, pour des questions et des éclaircissements • Remédiation des découvertes « à la demande »
Outpost24 offre la combinaison unique d’un pentest manuel avec une surveillance 24/7. Sa capacité à couvrir les vulnérabilités connues est un réel avantage par rapport aux tests d’intrusion qui doivent être effectués régulièrement 26 Application Manager d’une banque
Questions & Réponses 27

Recommandé

Softshake 2015 - Comment tester et optimiser la performance d'un SI ?
Softshake 2015 - Comment tester et optimiser la performance d'un SI ?Softshake 2015 - Comment tester et optimiser la performance d'un SI ?
Softshake 2015 - Comment tester et optimiser la performance d'un SI ?
cyrilpicat
 
Offre Audit et Test De Performance
Offre Audit et Test De PerformanceOffre Audit et Test De Performance
Offre Audit et Test De PerformanceCabinet Openi
 
Introduction à la validation de logiciel
Introduction à la validation de logicielIntroduction à la validation de logiciel
Introduction à la validation de logiciel
Jean-Paul CARMONA
 
Guide tests fonctionnels
Guide tests fonctionnelsGuide tests fonctionnels
Guide tests fonctionnels
cvcby
 
Softshake 2015 comment tester et optimiser la performance d'un si
Softshake 2015 comment tester et optimiser la performance d'un siSoftshake 2015 comment tester et optimiser la performance d'un si
Softshake 2015 comment tester et optimiser la performance d'un si
Marc Bojoly
 
Assurance qualité
Assurance qualitéAssurance qualité
Assurance qualitéPatrick Ostertag
 
Qualité logiciel - Generalités
Qualité logiciel - GeneralitésQualité logiciel - Generalités
Qualité logiciel - Generalités
Christophe Rochefolle
 
Témoignage Giannoni SQOP09 Afeit
Témoignage Giannoni SQOP09 AfeitTémoignage Giannoni SQOP09 Afeit
Témoignage Giannoni SQOP09 Afeit
AFEIT
 

Recommandé

Softshake 2015 - Comment tester et optimiser la performance d'un SI ?
Softshake 2015 - Comment tester et optimiser la performance d'un SI ?Softshake 2015 - Comment tester et optimiser la performance d'un SI ?
Softshake 2015 - Comment tester et optimiser la performance d'un SI ?
cyrilpicat
 
Offre Audit et Test De Performance
Offre Audit et Test De PerformanceOffre Audit et Test De Performance
Offre Audit et Test De PerformanceCabinet Openi
 
Introduction à la validation de logiciel
Introduction à la validation de logicielIntroduction à la validation de logiciel
Introduction à la validation de logiciel
Jean-Paul CARMONA
 
Guide tests fonctionnels
Guide tests fonctionnelsGuide tests fonctionnels
Guide tests fonctionnels
cvcby
 
Softshake 2015 comment tester et optimiser la performance d'un si
Softshake 2015 comment tester et optimiser la performance d'un siSoftshake 2015 comment tester et optimiser la performance d'un si
Softshake 2015 comment tester et optimiser la performance d'un si
Marc Bojoly
 
Assurance qualité
Assurance qualitéAssurance qualité
Assurance qualitéPatrick Ostertag
 
Qualité logiciel - Generalités
Qualité logiciel - GeneralitésQualité logiciel - Generalités
Qualité logiciel - Generalités
Christophe Rochefolle
 
Témoignage Giannoni SQOP09 Afeit
Témoignage Giannoni SQOP09 AfeitTémoignage Giannoni SQOP09 Afeit
Témoignage Giannoni SQOP09 Afeit
AFEIT
 
Stratégie de tests type
Stratégie de tests typeStratégie de tests type
Stratégie de tests typemadspock
 
Introduction à la qualité logicielle (1/5)
Introduction à la qualité logicielle (1/5)Introduction à la qualité logicielle (1/5)
Introduction à la qualité logicielle (1/5)
Sylvain Leroy
 
2014oct10 : La gestion de projet chez COMPUTERLAND
2014oct10 : La gestion de projet chez COMPUTERLAND2014oct10 : La gestion de projet chez COMPUTERLAND
2014oct10 : La gestion de projet chez COMPUTERLAND
Patricia NENZI
 
Tra optimiser preparation_tests_v1
Tra optimiser preparation_tests_v1Tra optimiser preparation_tests_v1
Tra optimiser preparation_tests_v1
SQLI
 
Strategie de test à agile tour bordeaux
Strategie de test à agile tour bordeauxStrategie de test à agile tour bordeaux
Strategie de test à agile tour bordeaux
Nicolas Fédou
 
Jeu résolution de problème
Jeu résolution de problèmeJeu résolution de problème
Jeu résolution de problèmeCIPE
 
Altran soirée du test logiciel - assez des c 05-10-17
Altran soirée du test logiciel - assez des c 05-10-17Altran soirée du test logiciel - assez des c 05-10-17
Altran soirée du test logiciel - assez des c 05-10-17
Marc Hage Chahine
 
8D : Méthode de résolution de problèmes - Secteur Automobile
8D : Méthode de résolution de problèmes - Secteur Automobile8D : Méthode de résolution de problèmes - Secteur Automobile
8D : Méthode de résolution de problèmes - Secteur Automobile
Gestion Projet Auto
 
Assurance Qualité S O A
Assurance Qualité S O AAssurance Qualité S O A
Assurance Qualité S O A
guestb55335
 
La méthodologie "8D"
La méthodologie "8D"La méthodologie "8D"
La méthodologie "8D"
LeanPerf
 
Cleancode / Tocea / Introduction
Cleancode / Tocea / IntroductionCleancode / Tocea / Introduction
Cleancode / Tocea / Introduction
Sylvain Leroy
 
La mise en musique de la méthode 8 D avec les outils RATIO
La mise en musique de la méthode 8 D avec les outils RATIOLa mise en musique de la méthode 8 D avec les outils RATIO
La mise en musique de la méthode 8 D avec les outils RATIO
Donna O'Leary
 
Dossier de plan_de_tests_v1.00
Dossier de plan_de_tests_v1.00Dossier de plan_de_tests_v1.00
Dossier de plan_de_tests_v1.00
Arnold Stellio
 
Types de tests vs techniques de tests
Types de tests vs techniques de testsTypes de tests vs techniques de tests
Types de tests vs techniques de tests
Sabrine MASTOURA
 
Contrats Agiles
Contrats AgilesContrats Agiles
Contrats AgilesGreg Hutchings
 
Optimiser son site grâce au testing A/B ou multivarié et au ciblage
Optimiser son site grâce au testing A/B ou multivarié et au ciblageOptimiser son site grâce au testing A/B ou multivarié et au ciblage
Optimiser son site grâce au testing A/B ou multivarié et au ciblage
Raphaël Fétique
 
Augmenter sa rentabilité grâce au test utilisateur
Augmenter sa rentabilité grâce au test utilisateurAugmenter sa rentabilité grâce au test utilisateur
Augmenter sa rentabilité grâce au test utilisateur
Julien Dereumaux
 
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
Agile Montréal
 
Jeu gestion de projet
Jeu gestion de projetJeu gestion de projet
Jeu gestion de projet
CIPE
 
Tester les applications plus efficacement
Tester les applications plus efficacementTester les applications plus efficacement
Tester les applications plus efficacement
kalistick
 
cipe jeu gestion de projet.pdf
cipe jeu gestion de projet.pdfcipe jeu gestion de projet.pdf
cipe jeu gestion de projet.pdf
CIPE
 
Analyse des besoins et gestion des projets besoin.pdf
Analyse des besoins et gestion des projets besoin.pdfAnalyse des besoins et gestion des projets besoin.pdf
Analyse des besoins et gestion des projets besoin.pdf
JordaniMike
 

Contenu connexe

Tendances

Stratégie de tests type
Stratégie de tests typeStratégie de tests type
Stratégie de tests typemadspock
 
Introduction à la qualité logicielle (1/5)
Introduction à la qualité logicielle (1/5)Introduction à la qualité logicielle (1/5)
Introduction à la qualité logicielle (1/5)
Sylvain Leroy
 
2014oct10 : La gestion de projet chez COMPUTERLAND
2014oct10 : La gestion de projet chez COMPUTERLAND2014oct10 : La gestion de projet chez COMPUTERLAND
2014oct10 : La gestion de projet chez COMPUTERLAND
Patricia NENZI
 
Tra optimiser preparation_tests_v1
Tra optimiser preparation_tests_v1Tra optimiser preparation_tests_v1
Tra optimiser preparation_tests_v1
SQLI
 
Strategie de test à agile tour bordeaux
Strategie de test à agile tour bordeauxStrategie de test à agile tour bordeaux
Strategie de test à agile tour bordeaux
Nicolas Fédou
 
Jeu résolution de problème
Jeu résolution de problèmeJeu résolution de problème
Jeu résolution de problèmeCIPE
 
Altran soirée du test logiciel - assez des c 05-10-17
Altran soirée du test logiciel - assez des c 05-10-17Altran soirée du test logiciel - assez des c 05-10-17
Altran soirée du test logiciel - assez des c 05-10-17
Marc Hage Chahine
 
8D : Méthode de résolution de problèmes - Secteur Automobile
8D : Méthode de résolution de problèmes - Secteur Automobile8D : Méthode de résolution de problèmes - Secteur Automobile
8D : Méthode de résolution de problèmes - Secteur Automobile
Gestion Projet Auto
 
Assurance Qualité S O A
Assurance Qualité S O AAssurance Qualité S O A
Assurance Qualité S O A
guestb55335
 
La méthodologie "8D"
La méthodologie "8D"La méthodologie "8D"
La méthodologie "8D"
LeanPerf
 
Cleancode / Tocea / Introduction
Cleancode / Tocea / IntroductionCleancode / Tocea / Introduction
Cleancode / Tocea / Introduction
Sylvain Leroy
 
La mise en musique de la méthode 8 D avec les outils RATIO
La mise en musique de la méthode 8 D avec les outils RATIOLa mise en musique de la méthode 8 D avec les outils RATIO
La mise en musique de la méthode 8 D avec les outils RATIO
Donna O'Leary
 
Dossier de plan_de_tests_v1.00
Dossier de plan_de_tests_v1.00Dossier de plan_de_tests_v1.00
Dossier de plan_de_tests_v1.00
Arnold Stellio
 
Types de tests vs techniques de tests
Types de tests vs techniques de testsTypes de tests vs techniques de tests
Types de tests vs techniques de tests
Sabrine MASTOURA
 

Tendances (14)

Stratégie de tests type
Stratégie de tests typeStratégie de tests type
Stratégie de tests type
 
Introduction à la qualité logicielle (1/5)
Introduction à la qualité logicielle (1/5)Introduction à la qualité logicielle (1/5)
Introduction à la qualité logicielle (1/5)
 
2014oct10 : La gestion de projet chez COMPUTERLAND
2014oct10 : La gestion de projet chez COMPUTERLAND2014oct10 : La gestion de projet chez COMPUTERLAND
2014oct10 : La gestion de projet chez COMPUTERLAND
 
Tra optimiser preparation_tests_v1
Tra optimiser preparation_tests_v1Tra optimiser preparation_tests_v1
Tra optimiser preparation_tests_v1
 
Strategie de test à agile tour bordeaux
Strategie de test à agile tour bordeauxStrategie de test à agile tour bordeaux
Strategie de test à agile tour bordeaux
 
Jeu résolution de problème
Jeu résolution de problèmeJeu résolution de problème
Jeu résolution de problème
 
Altran soirée du test logiciel - assez des c 05-10-17
Altran soirée du test logiciel - assez des c 05-10-17Altran soirée du test logiciel - assez des c 05-10-17
Altran soirée du test logiciel - assez des c 05-10-17
 
8D : Méthode de résolution de problèmes - Secteur Automobile
8D : Méthode de résolution de problèmes - Secteur Automobile8D : Méthode de résolution de problèmes - Secteur Automobile
8D : Méthode de résolution de problèmes - Secteur Automobile
 
Assurance Qualité S O A
Assurance Qualité S O AAssurance Qualité S O A
Assurance Qualité S O A
 
La méthodologie "8D"
La méthodologie "8D"La méthodologie "8D"
La méthodologie "8D"
 
Cleancode / Tocea / Introduction
Cleancode / Tocea / IntroductionCleancode / Tocea / Introduction
Cleancode / Tocea / Introduction
 
La mise en musique de la méthode 8 D avec les outils RATIO
La mise en musique de la méthode 8 D avec les outils RATIOLa mise en musique de la méthode 8 D avec les outils RATIO
La mise en musique de la méthode 8 D avec les outils RATIO
 
Dossier de plan_de_tests_v1.00
Dossier de plan_de_tests_v1.00Dossier de plan_de_tests_v1.00
Dossier de plan_de_tests_v1.00
 
Types de tests vs techniques de tests
Types de tests vs techniques de testsTypes de tests vs techniques de tests
Types de tests vs techniques de tests
 

Similaire à Outpost24 webinar - Quel est le coût réel d'un test d'intrusion face aux nouvelles cyber-menaces

Optimiser son site grâce au testing A/B ou multivarié et au ciblage
Optimiser son site grâce au testing A/B ou multivarié et au ciblageOptimiser son site grâce au testing A/B ou multivarié et au ciblage
Optimiser son site grâce au testing A/B ou multivarié et au ciblage
Raphaël Fétique
 
Augmenter sa rentabilité grâce au test utilisateur
Augmenter sa rentabilité grâce au test utilisateurAugmenter sa rentabilité grâce au test utilisateur
Augmenter sa rentabilité grâce au test utilisateur
Julien Dereumaux
 
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
Agile Montréal
 
Jeu gestion de projet
Jeu gestion de projetJeu gestion de projet
Jeu gestion de projet
CIPE
 
Tester les applications plus efficacement
Tester les applications plus efficacementTester les applications plus efficacement
Tester les applications plus efficacement
kalistick
 
cipe jeu gestion de projet.pdf
cipe jeu gestion de projet.pdfcipe jeu gestion de projet.pdf
cipe jeu gestion de projet.pdf
CIPE
 
Analyse des besoins et gestion des projets besoin.pdf
Analyse des besoins et gestion des projets besoin.pdfAnalyse des besoins et gestion des projets besoin.pdf
Analyse des besoins et gestion des projets besoin.pdf
JordaniMike
 
coursABGP-miage-1112-4p1.pdf
coursABGP-miage-1112-4p1.pdfcoursABGP-miage-1112-4p1.pdf
coursABGP-miage-1112-4p1.pdf
HervKoya
 
qualité.pdf
qualité.pdfqualité.pdf
qualité.pdf
FousseyniTraor
 
Lean Office et Lean innovation par James Boqueho de Constellium
Lean Office et Lean innovation par James Boqueho de ConstelliumLean Office et Lean innovation par James Boqueho de Constellium
Lean Office et Lean innovation par James Boqueho de Constellium
Institut Lean France
 
AES22-A la découverte d'Accelerate.pdf
AES22-A la découverte d'Accelerate.pdfAES22-A la découverte d'Accelerate.pdf
AES22-A la découverte d'Accelerate.pdf
Agile En Seine
 
Crash Test Your Idea Meetup Valtech 13/09/2016
Crash Test Your Idea Meetup Valtech 13/09/2016Crash Test Your Idea Meetup Valtech 13/09/2016
Crash Test Your Idea Meetup Valtech 13/09/2016
André De Sousa
 
Webinar TDD / BDD : Comment mieux délivrer et s'entendre pour le Product Owne...
Webinar TDD / BDD : Comment mieux délivrer et s'entendre pour le Product Owne...Webinar TDD / BDD : Comment mieux délivrer et s'entendre pour le Product Owne...
Webinar TDD / BDD : Comment mieux délivrer et s'entendre pour le Product Owne...
DC CONSULTANTS
 
Le développement logiciel expliqué à votre patron en 24 slides
Le développement logiciel expliqué à votre patron en 24 slidesLe développement logiciel expliqué à votre patron en 24 slides
Le développement logiciel expliqué à votre patron en 24 slides
Yassine CHAOUCHE
 
Mener des experimentations sans sacrifier la qualite - Meetup Agile Testing P...
Mener des experimentations sans sacrifier la qualite - Meetup Agile Testing P...Mener des experimentations sans sacrifier la qualite - Meetup Agile Testing P...
Mener des experimentations sans sacrifier la qualite - Meetup Agile Testing P...
Christopher Parola
 
Startup driven development
Startup driven developmentStartup driven development
Startup driven development
Gabriel Kastenbaum
 
Une transformation digitale par le lean product engineering
Une transformation digitale par le lean product engineeringUne transformation digitale par le lean product engineering
Une transformation digitale par le lean product engineering
Antoine Contal
 
Tests Logiciel
Tests LogicielTests Logiciel
Tests Logiciel
Nathaniel Richand
 

Similaire à Outpost24 webinar - Quel est le coût réel d'un test d'intrusion face aux nouvelles cyber-menaces (20)

Contrats Agiles
Contrats AgilesContrats Agiles
Contrats Agiles
 
Optimiser son site grâce au testing A/B ou multivarié et au ciblage
Optimiser son site grâce au testing A/B ou multivarié et au ciblageOptimiser son site grâce au testing A/B ou multivarié et au ciblage
Optimiser son site grâce au testing A/B ou multivarié et au ciblage
 
Augmenter sa rentabilité grâce au test utilisateur
Augmenter sa rentabilité grâce au test utilisateurAugmenter sa rentabilité grâce au test utilisateur
Augmenter sa rentabilité grâce au test utilisateur
 
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...
 
Jeu gestion de projet
Jeu gestion de projetJeu gestion de projet
Jeu gestion de projet
 
Tester les applications plus efficacement
Tester les applications plus efficacementTester les applications plus efficacement
Tester les applications plus efficacement
 
cipe jeu gestion de projet.pdf
cipe jeu gestion de projet.pdfcipe jeu gestion de projet.pdf
cipe jeu gestion de projet.pdf
 
Analyse des besoins et gestion des projets besoin.pdf
Analyse des besoins et gestion des projets besoin.pdfAnalyse des besoins et gestion des projets besoin.pdf
Analyse des besoins et gestion des projets besoin.pdf
 
coursABGP-miage-1112-4p1.pdf
coursABGP-miage-1112-4p1.pdfcoursABGP-miage-1112-4p1.pdf
coursABGP-miage-1112-4p1.pdf
 
qualité.pdf
qualité.pdfqualité.pdf
qualité.pdf
 
Lean Office et Lean innovation par James Boqueho de Constellium
Lean Office et Lean innovation par James Boqueho de ConstelliumLean Office et Lean innovation par James Boqueho de Constellium
Lean Office et Lean innovation par James Boqueho de Constellium
 
AES22-A la découverte d'Accelerate.pdf
AES22-A la découverte d'Accelerate.pdfAES22-A la découverte d'Accelerate.pdf
AES22-A la découverte d'Accelerate.pdf
 
Crash Test Your Idea Meetup Valtech 13/09/2016
Crash Test Your Idea Meetup Valtech 13/09/2016Crash Test Your Idea Meetup Valtech 13/09/2016
Crash Test Your Idea Meetup Valtech 13/09/2016
 
13_06_2014
13_06_201413_06_2014
13_06_2014
 
Webinar TDD / BDD : Comment mieux délivrer et s'entendre pour le Product Owne...
Webinar TDD / BDD : Comment mieux délivrer et s'entendre pour le Product Owne...Webinar TDD / BDD : Comment mieux délivrer et s'entendre pour le Product Owne...
Webinar TDD / BDD : Comment mieux délivrer et s'entendre pour le Product Owne...
 
Le développement logiciel expliqué à votre patron en 24 slides
Le développement logiciel expliqué à votre patron en 24 slidesLe développement logiciel expliqué à votre patron en 24 slides
Le développement logiciel expliqué à votre patron en 24 slides
 
Mener des experimentations sans sacrifier la qualite - Meetup Agile Testing P...
Mener des experimentations sans sacrifier la qualite - Meetup Agile Testing P...Mener des experimentations sans sacrifier la qualite - Meetup Agile Testing P...
Mener des experimentations sans sacrifier la qualite - Meetup Agile Testing P...
 
Startup driven development
Startup driven developmentStartup driven development
Startup driven development
 
Une transformation digitale par le lean product engineering
Une transformation digitale par le lean product engineeringUne transformation digitale par le lean product engineering
Une transformation digitale par le lean product engineering
 
Tests Logiciel
Tests LogicielTests Logiciel
Tests Logiciel
 

Plus de Outpost24

Outpost24 webinar - A fresh look into the underground card shop ecosystem
Outpost24 webinar - A fresh look into the underground card shop ecosystemOutpost24 webinar - A fresh look into the underground card shop ecosystem
Outpost24 webinar - A fresh look into the underground card shop ecosystem
Outpost24
 
Outpost24 webinar Why API security matters and how to get it right.pdf
Outpost24 webinar Why API security matters and how to get it right.pdfOutpost24 webinar Why API security matters and how to get it right.pdf
Outpost24 webinar Why API security matters and how to get it right.pdf
Outpost24
 
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24
 
Outpost24 Webinar - Five steps to build a killer Application Security Program
Outpost24 Webinar - Five steps to build a killer Application Security ProgramOutpost24 Webinar - Five steps to build a killer Application Security Program
Outpost24 Webinar - Five steps to build a killer Application Security Program
Outpost24
 
Outpost24 webinar - How to protect your organization from credential theft
Outpost24 webinar - How to protect your organization from credential theftOutpost24 webinar - How to protect your organization from credential theft
Outpost24 webinar - How to protect your organization from credential theft
Outpost24
 
Outpost24 webinar : Beating hackers at their own game 2022 predictions
Outpost24 webinar : Beating hackers at their own game 2022 predictionsOutpost24 webinar : Beating hackers at their own game 2022 predictions
Outpost24 webinar : Beating hackers at their own game 2022 predictions
Outpost24
 
Outpost24 webinar - Enhance user security to stop the cyber-attack cycle
Outpost24 webinar - Enhance user security to stop the cyber-attack cycleOutpost24 webinar - Enhance user security to stop the cyber-attack cycle
Outpost24 webinar - Enhance user security to stop the cyber-attack cycle
Outpost24
 
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK Framework
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK FrameworkOutpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK Framework
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK Framework
Outpost24
 
Outpost24 webinar: best practice for external attack surface management
Outpost24 webinar: best practice for external attack surface managementOutpost24 webinar: best practice for external attack surface management
Outpost24 webinar: best practice for external attack surface management
Outpost24
 
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...
Outpost24
 
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...
Outpost24
 
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...
Outpost24
 
Outpost24 webinar - Api security
Outpost24 webinar - Api securityOutpost24 webinar - Api security
Outpost24 webinar - Api security
Outpost24
 
Outpost24 Webinar - CISO conversation behind the cyber security technology
Outpost24 Webinar - CISO conversation behind the cyber security technologyOutpost24 Webinar - CISO conversation behind the cyber security technology
Outpost24 Webinar - CISO conversation behind the cyber security technology
Outpost24
 
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...
Outpost24
 
Outpost24 webinar - How to secure cloud services in the DevOps fast lane
Outpost24 webinar - How to secure cloud services in the DevOps fast laneOutpost24 webinar - How to secure cloud services in the DevOps fast lane
Outpost24 webinar - How to secure cloud services in the DevOps fast lane
Outpost24
 
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...Outpost24 webinar - Demystifying Web Application Security with Attack Surface...
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...
Outpost24
 
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...
Outpost24
 
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...
Outpost24
 
Outpost24 webinar mastering container security in modern day dev ops
Outpost24 webinar mastering container security in modern day dev opsOutpost24 webinar mastering container security in modern day dev ops
Outpost24 webinar mastering container security in modern day dev ops
Outpost24
 

Plus de Outpost24 (20)

Outpost24 webinar - A fresh look into the underground card shop ecosystem
Outpost24 webinar - A fresh look into the underground card shop ecosystemOutpost24 webinar - A fresh look into the underground card shop ecosystem
Outpost24 webinar - A fresh look into the underground card shop ecosystem
 
Outpost24 webinar Why API security matters and how to get it right.pdf
Outpost24 webinar Why API security matters and how to get it right.pdfOutpost24 webinar Why API security matters and how to get it right.pdf
Outpost24 webinar Why API security matters and how to get it right.pdf
 
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...
 
Outpost24 Webinar - Five steps to build a killer Application Security Program
Outpost24 Webinar - Five steps to build a killer Application Security ProgramOutpost24 Webinar - Five steps to build a killer Application Security Program
Outpost24 Webinar - Five steps to build a killer Application Security Program
 
Outpost24 webinar - How to protect your organization from credential theft
Outpost24 webinar - How to protect your organization from credential theftOutpost24 webinar - How to protect your organization from credential theft
Outpost24 webinar - How to protect your organization from credential theft
 
Outpost24 webinar : Beating hackers at their own game 2022 predictions
Outpost24 webinar : Beating hackers at their own game 2022 predictionsOutpost24 webinar : Beating hackers at their own game 2022 predictions
Outpost24 webinar : Beating hackers at their own game 2022 predictions
 
Outpost24 webinar - Enhance user security to stop the cyber-attack cycle
Outpost24 webinar - Enhance user security to stop the cyber-attack cycleOutpost24 webinar - Enhance user security to stop the cyber-attack cycle
Outpost24 webinar - Enhance user security to stop the cyber-attack cycle
 
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK Framework
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK FrameworkOutpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK Framework
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK Framework
 
Outpost24 webinar: best practice for external attack surface management
Outpost24 webinar: best practice for external attack surface managementOutpost24 webinar: best practice for external attack surface management
Outpost24 webinar: best practice for external attack surface management
 
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...
 
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...
 
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...
 
Outpost24 webinar - Api security
Outpost24 webinar - Api securityOutpost24 webinar - Api security
Outpost24 webinar - Api security
 
Outpost24 Webinar - CISO conversation behind the cyber security technology
Outpost24 Webinar - CISO conversation behind the cyber security technologyOutpost24 Webinar - CISO conversation behind the cyber security technology
Outpost24 Webinar - CISO conversation behind the cyber security technology
 
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...
Outpost24 webinar - Differentiating vulnerabilities from risks to reduce time...
 
Outpost24 webinar - How to secure cloud services in the DevOps fast lane
Outpost24 webinar - How to secure cloud services in the DevOps fast laneOutpost24 webinar - How to secure cloud services in the DevOps fast lane
Outpost24 webinar - How to secure cloud services in the DevOps fast lane
 
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...Outpost24 webinar - Demystifying Web Application Security with Attack Surface...
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...
 
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...
 
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...
 
Outpost24 webinar mastering container security in modern day dev ops
Outpost24 webinar mastering container security in modern day dev opsOutpost24 webinar mastering container security in modern day dev ops
Outpost24 webinar mastering container security in modern day dev ops
 

Outpost24 webinar - Quel est le coût réel d'un test d'intrusion face aux nouvelles cyber-menaces

  • 1. Quel budget pour les tests d'intrusion face aux nouvelles cyber menaces ? Nicolas Renard Mai 2019
  • 2. 2 • Test d’intrusion – Définition et pourquoi il est important • Le coût réel d’un pentest • Test d’intrusion ‘Nouvelle génération’ • Nouveaux challenges – ce que le 21ème siècle vous réserve Agenda
  • 3. 3 • Siège social – Suède • Bureaux commerciaux – BeNeLux, Allemagne, Pays scandinaves, RU&I/France, USA • Partenaires MSSP et revendeurs à travers le monde • Plus de 130 employés • + 11M€ CA en 2018, soit 37% de croissance Qui est Outpost24 ?
  • 4. Un test d’intrusion, couramment appelé pentest, est une cyber-attaque simulée et autorisée sur un système informatique, réalisée afin d’évaluer le niveau de sécurité du système. Le test est effectué pour identifier les faiblesses (également appelées vulnérabilités), y compris la possibilité pour des tiers non autorisés d'accéder aux fonctionnalités et aux données du système, ainsi que les forces, permettant ainsi de réaliser une évaluation complète des risques. - Source Wikipedia Il vous aide à comprendre la surface d’attaque de vos application et réseaux Test d’intrusion : qu’est-ce que c’est et pourquoi c’est important ? 4
  • 5. Oui. Les bénéfices que vous pouvez en tirer sont très précieux • Trouver les « backdoors » – ou ce que vos outils automatisés manquent • Hiérarchiser les risques • Améliorer la détection et les alertes (Top 10 de l'OWASP 2017 A10) • Valider vos contrôles • Se conformer aux réglementations locales, nationales et internationales Il complète les zones non couvertes par vos tests automatisés Doit-on faire des tests d’intrusion ? 5
  • 6. A quelle fréquence vos applications changent-elles ? Est-ce une application critique ? Est-il question de tester ponctuellement la conformité ou bien cela fait-il partie de tests à réaliser régulièrement dans le cadre d’un cycle de développement DevSecOps ? De nombreux clients effectuent un test d’intrusion une ou deux fois par an ou tous les trimestres, à la demande du secteur d’activité ou par un tiers. A quelle fréquence faire un test d’intrusion ? 6 Enquête : Combien de test d’intrusion par application, effectuez-vous annuellement ?
  • 7. Le coût réel d’un test d'intrusion… 7
  • 8. Ce que vous pensez payer 8 Un test d’intrusion total de 10 jours à un « tarif journalier » convenu (750 € à 1 000 € et plus) Test d’intrusion (10 jours / 7 500 €) €€
  • 9. Mais vous avez oublié les coûts de préparation 9 Le coût journalier de votre personnel interne (500 €) Choix du prestataire, négociation du contrat (5 jours / 2 500 €) Appel d’offres (2 jours / 1 000 €) Planning, date de démarrage (2 jours / 1 000 €) Un test d’intrusion de 10 jours va réellement coûter entre 15 et 20 jours une fois le test effectué Test d’intrusion + préparation (10 + 9 = 19 jours / 12 000 €) + 4 500 € €€€€ + 9 jours
  • 10. Et vos dépenses « après test » 10 Un test de 10 jours est plus proche des 8 jours : vous avez eu des retards, des incidents à gérer ainsi que la remise du rapport. Maintenant, vous avez un long chemin à parcourir avant de trouver une solution. Examen du rapport (3 jours / 1 500 €) Ajout dans le suivi des correctifs (2 jours / 1 000 €) Ajustements (1 – 2 jours / 500 €) Remédiation (10+ jours / 5 000 €) Préparation + Test d’intrusion (19 – 2 = 17 jours / mais le coût est toujours de 12 000 €) €€€€€€ Ajoutez 16 autres jours et 8 000 € = potentiellement 20 000 €
  • 11. Appel d’offres Trouver un prestataire Choix de la portée du test Négociation du contrat Analyser le test Ajout au suivi des problèmes Remédiation Le coût réel d’un test d’intrusion 11 €€ €€€€ €€€€€€ Prix d’achat Coûts cachés
  • 12. Pire encore….. Il n’offre que peu de valeur 12
  • 13. 13 Vous devez être prêt pour les testeurs • En cas de retard vous perdrez des jours de test La production est affectée • Les entreprises se plaignent. Vous devez recommencer. Vous perdez ½ jour et changez la portée du test Le testeur doit rédiger un rapport et vous présenter les résultats • Cela prend 1,5 / 2 jours pour délivrer Vos 10 j deviennent : 5 j de test, quelques jours d’attente, 1j pour rédiger un rapport et une réunion de clôture • Votre testeur a probablement utilisé des outils automatisés à 50%+ Vous n’obtenez pas ce pourquoi vous payez
  • 14. 14 Vous ne pouvez pas savoir si les corrections sont efficaces • Peut-être que votre scanner automatisé peut aider un peu Mais le DAST ne remplace pas vraiment les tests manuels • Ils ne s’adaptent pas à votre logique métier • Ils ne trouveront pas ce plugin vulnérable qui donne un accès administrateur à votre application • Ils pourraient exécuter une attaque « Buffer overflow » ou SQLi - endommageant votre application (vous pouvez blacklister ces pages de l'application mais cela affaiblira sa capacité à détecter les risques) • Ils généreront peut-être des faux positifs, ce qui pourrait vraiment rallonger les temps de correction. Cela vous laisse songeur
  • 15. Vous considérez le « test » comme un nombre de « jours ouvrés ». C’est une mauvaise approche du budget. Vous passez à côté de tous les autres coûts - avant et après le test. Votre test est probablement automatisé à 50% avec une analyse des résultats, une journée pour les rapports et une journée pour la restitution Vous ne pouvez pas travailler sur la correction avant la fin du test (suivant les délais) et vous devez attendre que le rapport vous ait été remis Vous devrez probablement jongler avec des faux positifs, des résultats subjectifs et n’aurez aucun moyen réel d’interroger ou de clarifier les problèmes Vous ne pouvez pas facilement vérifier que vos équipes de développement ont résolu les problèmes signalés Cela vous coûte cher pour une valeur discutable 15 Et pourtant vous le faites encore
  • 16. La définition de la folie, c’est faire la même chose à répétition et s'attendre à ce que les résultats soient différents 16 Albert Einstein
  • 17. Test d’intrusion nouvelle génération 17
  • 18. 18
  • 19. A. Ils voulaient un contrat unique, négocié au début d'une période de 12 mois pour couvrir tous les tests B. Ils voulaient annuler les tests si nécessaire - à la demande. C. Ils voulaient payer un prix fixe pour l’ensemble des tests D. Ils voulaient que ce soit flexible. S'ils ont besoin de plus, ils paient plus Que disent nos clients, vos homologues, sur la procédure ? 19
  • 20. A. Ils ne voulaient pas avoir à définir le périmètre pour chaque application au préalable. B. Ils voulaient un test flexible, approfondi, atteignant l’objectif qu’ils se sont fixé. C. Ils ne voulaient pas s’inquiéter du nombre de « jours » D. Ils souhaitaient que les résultats soient présentés dans une seule interface utilisateur, avec une option d'intégration dans leurs outils CI / CD Que disent nos clients, vos homologues, sur la prestation 20
  • 21. A. Ils ne voulaient pas de faux positifs. Tout ce qui est présenté dans l’interface graphique doit nécessiter une correction. B. Ils ne voulaient pas attendre la fin du test et la restitution pour commencer la correction C. Ils voulaient pouvoir poser des questions ou demander des éclaircissements au-delà de la durée du test D. Ils voulaient vérifier que leurs efforts de remédiation avaient été fructueux, au-delà de la durée du test E. Ils voulaient remplir la case à cocher « conformité » avec un rapport de test d'intrusion Que nous disent nos clients, vos homologues, sur la remédiation ? 21
  • 22. 22 Nous avons écouté. Nous avons construit. Nos clients sont venus Nous avons délivré : • Contrats annuels • Groupe de tests à la demande • Zéro faux positif • Découvertes postées directement sur l'interface utilisateur pouvant être corrigées pendant les tests • Accès direct aux analystes • Possibilité de demander la vérification des activités de remédiation Les clients économisent du temps et de l’argent tout en étant en mesure de demander des tests adaptés à leurs procédures SDLC et à leurs délais Si vous le construisez, ils viendront
  • 23. Economisez votre temps et vos €€€ Maintenant ! 23
  • 24. Les test d’intrusions traditionnels coûtent plus que vous ne le pensez 24 Ancien : coût caché pour chaque test Nouveau : coût fixé d’avance Ancien : vous testez quand vous pouvez, en interrompant le cycle de développement Nouveau : Test sur demande, inclus dans le cycle de développement Ancien : vous corrigez les failles bien après que les tests soient terminés Nouveau : vous corrigez au fur et à mesure que les tests se déroulent Ancien vs Nouveau €€
  • 25. • Une poignée de main pour un prix fixe (pas de coût caché) • A la demande et flexible • Accès instantané, pas de retard, vous obtenez l'épisode dès qu'il est disponible • Excellente expérience de streaming (sans mise en mémoire tampon) • Excellent service client et facilité de contact avec des représentants compétents • Lecture et pause flexibles et satisfaction garantie Adoptez le modèle Netflix 25 • Contrat unique, une signature, durée de 12 mois • Groupe de test « à la demande » • Résultats en libre service disponibles tant que les tests sont toujours en cours (VIA UI) • Pas de faux positifs • Accès aux analystes, pour des questions et des éclaircissements • Remédiation des découvertes « à la demande »
  • 26. Outpost24 offre la combinaison unique d’un pentest manuel avec une surveillance 24/7. Sa capacité à couvrir les vulnérabilités connues est un réel avantage par rapport aux tests d’intrusion qui doivent être effectués régulièrement 26 Application Manager d’une banque

Notes de l'éditeur

  1. IPS WAF DAST Logique métier Est-ce que l’appli est fonctionnelle?
  2. Ne pas attendre la fin du slide pour envoyer le formulaire
  3. - 2 jours : si on a oublié une autorisation de scan par exemple Ajustements : discussion sur ce qui a été testé, est-ce que le dev avait bien les appli à jour?
  4. Ça se passe à chaque fois que l’on entre dans la démarche d’effectuer un test d’intrusion
  5. Vous avez peut-être oublié de blacklister quelquechose, il peut y avoir des consequences, des arrêts de production, une perte de temps
  6. Encore et toujours cette façon traditionnelle habitude
  7. Ça ne veut pas dire que cette façon de faire des pentests est mauvaise, ça veut dire qu’il faut peut-être penser différemment Il y a peut-être moyen d’être mieux adapté aux dev continus et devops