Les tests d'intrusion sont, depuis longtemps, une méthode éprouvée qui simule une attaque contre les systèmes informatiques des entreprises afin de détecter les vulnérabilités exploitables avant tout le monde. Mais le prix en vaut-il la peine?
Softshake 2015 - Comment tester et optimiser la performance d'un SI ?cyrilpicat
Optimiser et tester la performance d'une seule application devient un sujet maîtrisé, avec des méthodes et des outils dorénavant rodés. Pour autant, réaliser des tests significatifs à un coût raisonnable reste un challenge.
Qu'en est-il dans le cas d'un SI tout entier ? Si le "service" rendu à l'utilisateur repose sur plusieurs applications, les pratiques sont beaucoup plus balbutiantes et beaucoup de questions se posent : faut-il tester chaque application en isolation ? Y a-t-il un vrai ROI à ces tests, ou est-ce un chantier pharaonique ?
A l'heure où les architectures doivent de plus en plus exposer et consommer des services, à l'heure de l'expérience digitale, le temps de réponse ressenti par un utilisateur ne doit plus être une inconnue ! Et ceci même si sa réponse sollicite plusieurs applications dans mon SI.
Aujourd'hui les outils techniques et méthodologiques existent, nous les avons utilisés. Cette session sera l'occasion de proposer notre méthode pour aborder ces tests, basé sur un REX dans le trading bancaire.
Guide de tests fonctionnels. En utilisant ces principes, mes équipes ont réduit de 90% les défauts détectés en tests d’acceptation (UAT) et permis la livraison de trois projets avec zéro défaut.
Formation généraliste rédigée en Juin 2009
Qualité logiciel
Plan Qualité
Gestion Processus de développement
Gestion des exigences
Gestion de configuration
Gestion des tests
Gestion des anomalies
Gestion de la documentation
Softshake 2015 - Comment tester et optimiser la performance d'un SI ?cyrilpicat
Optimiser et tester la performance d'une seule application devient un sujet maîtrisé, avec des méthodes et des outils dorénavant rodés. Pour autant, réaliser des tests significatifs à un coût raisonnable reste un challenge.
Qu'en est-il dans le cas d'un SI tout entier ? Si le "service" rendu à l'utilisateur repose sur plusieurs applications, les pratiques sont beaucoup plus balbutiantes et beaucoup de questions se posent : faut-il tester chaque application en isolation ? Y a-t-il un vrai ROI à ces tests, ou est-ce un chantier pharaonique ?
A l'heure où les architectures doivent de plus en plus exposer et consommer des services, à l'heure de l'expérience digitale, le temps de réponse ressenti par un utilisateur ne doit plus être une inconnue ! Et ceci même si sa réponse sollicite plusieurs applications dans mon SI.
Aujourd'hui les outils techniques et méthodologiques existent, nous les avons utilisés. Cette session sera l'occasion de proposer notre méthode pour aborder ces tests, basé sur un REX dans le trading bancaire.
Guide de tests fonctionnels. En utilisant ces principes, mes équipes ont réduit de 90% les défauts détectés en tests d’acceptation (UAT) et permis la livraison de trois projets avec zéro défaut.
Formation généraliste rédigée en Juin 2009
Qualité logiciel
Plan Qualité
Gestion Processus de développement
Gestion des exigences
Gestion de configuration
Gestion des tests
Gestion des anomalies
Gestion de la documentation
Introduction à la qualité logicielle (1/5)Sylvain Leroy
Présentation / Sensibilisation à la qualité logicielle, à l'assurance qualité et au contrôle du code des applications.
Cette présentation est le premier chapitre introductif du thème. Elle rappelle les principaux écueils que rencontre tout projet de développement informatique.
Strategie de test à agile tour bordeauxNicolas Fédou
Une stratégie de tests, on sait tous que c’est nécessaire, mais sans forcément savoir à quoi ça ressemble.
Une stratégie de tests est la façon de s’organiser pour montrer qu’une application est de qualité suffisante pour aller en production. Il ne s’agit donc pas d’un inventaire de tests manuels ou automatisés, mais d’un raisonnement avec des choix et des renoncements.
Dans cette présentation nous verrons comment une stratégie de tests vise à optimiser la confiance et les preuves de qualité dans le cadre du développement d’un produit agile.
Introduction au 8D qualité, découvrez les 8 disciplines pour résoudre un problème.
Quand un problème qualité survient il faut agir directement pour résoudre le problème. La méthodologie 8D doit être utilisée systématiquement pour chacune des réclamations constatée chez un client externe au Groupe.
La mise en musique de la méthode 8 D avec les outils RATIODonna O'Leary
Dans cette présentation, vous découvrirez combien l'emploi des méthodes/outils de l'approche RATIO pourrait vous apporter pour faire vivre votre processus de résolution de problèmes 8D. En effet, apportant de la rigueur analytique et de la clarté, les outils RATIO s'intègrent parfaitement dans cette approche vous permettant de visualiser toutes les étapes du processus 8D dans un document unique, particulièrement facile à comprendre et à partager avec des tiers.
Optimiser son site grâce au testing A/B ou multivarié et au ciblageRaphaël Fétique
Pratique encore peu répandue en France, le testing reste l'apanage malheureusement des acteurs les plus matures - il devient indispensable à partir d'1 million d'euros de CA - alors que son coût le met à la portée de tous !
Plus que d’autres méthodes d’optimisations, le testing requiert une méthodologie stricte et rigoureuse pour pouvoir être utilisée efficacement.
Cette conférence a pour objectif de :
- Introduire le concept de testing ainsi que les différents types de tests : A/B, multivarié, ciblage
- Fournir les bases et la méthodologie pour se lancer sereinement dans une démarche de testing (choix des variantes, outils, méthodes statistiques, liens avec les solutions de webanalytics, organisation générale, ...)
- Présenter les best-practices ainsi que les principaux pièges à éviter
Augmenter sa rentabilité grâce au test utilisateurJulien Dereumaux
Méthode de design UX bien trop peu exploitée, elle représente pourtant un moyen très efficace de sauvegarder ses ressources grâce à la participation des utilisateurs.
Pendant ce webinar j'expliquerai tout l'intérêt d'utiliser ce genre de méthode dans vos projets et quels bénéfices vous pouvez en retirer !
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...Agile Montréal
J'expliquerai comment la science a évolué sur la productivité des équipes, comment que la productivité n'est plus une histoire simplement de métriques mais de retirer les frictions du développement (le DevEx). Je ferai des liens sur comment c'est bénéfique monétairement pour vous et l'entreprise de miser sur l'amélioration continue (le ROI d'une transformation DevOps) et des liens avec le message initial de l'agilité il y a deux décennies. Journey to Continuous Delivery.
Horizon permet d'apprendre les techniques de base du Management de projet : planification, maîtrise des risques, optimisation et contrôle des coûts, management d'équipe, ...
un jeu de rôles pour comprendre et mettre en oeuvre les bonnes pratiques de gestion de projet. le jeu repose sur le principe de la mise en situation : prenant en charge des rôles dans une équipe projet, les participants développent un nouveau produit à partir de lego®. Face aux exigences du client et aux aléas de l’environnement, l’équipe découvre les bonnes pratiques (organisation, communication, pilotage, …) pour atteindre les meilleures performances en termes de coûts, performances et délai. Le jeu de rôles est incontournable pour le management de projet : les équipes vivent un vrai projet, reçoivent des mails (points durs, risques, opportunités), réorientent le projet le cas échéant, et sont sous une contrainte de temps.
Introduction à la qualité logicielle (1/5)Sylvain Leroy
Présentation / Sensibilisation à la qualité logicielle, à l'assurance qualité et au contrôle du code des applications.
Cette présentation est le premier chapitre introductif du thème. Elle rappelle les principaux écueils que rencontre tout projet de développement informatique.
Strategie de test à agile tour bordeauxNicolas Fédou
Une stratégie de tests, on sait tous que c’est nécessaire, mais sans forcément savoir à quoi ça ressemble.
Une stratégie de tests est la façon de s’organiser pour montrer qu’une application est de qualité suffisante pour aller en production. Il ne s’agit donc pas d’un inventaire de tests manuels ou automatisés, mais d’un raisonnement avec des choix et des renoncements.
Dans cette présentation nous verrons comment une stratégie de tests vise à optimiser la confiance et les preuves de qualité dans le cadre du développement d’un produit agile.
Introduction au 8D qualité, découvrez les 8 disciplines pour résoudre un problème.
Quand un problème qualité survient il faut agir directement pour résoudre le problème. La méthodologie 8D doit être utilisée systématiquement pour chacune des réclamations constatée chez un client externe au Groupe.
La mise en musique de la méthode 8 D avec les outils RATIODonna O'Leary
Dans cette présentation, vous découvrirez combien l'emploi des méthodes/outils de l'approche RATIO pourrait vous apporter pour faire vivre votre processus de résolution de problèmes 8D. En effet, apportant de la rigueur analytique et de la clarté, les outils RATIO s'intègrent parfaitement dans cette approche vous permettant de visualiser toutes les étapes du processus 8D dans un document unique, particulièrement facile à comprendre et à partager avec des tiers.
Optimiser son site grâce au testing A/B ou multivarié et au ciblageRaphaël Fétique
Pratique encore peu répandue en France, le testing reste l'apanage malheureusement des acteurs les plus matures - il devient indispensable à partir d'1 million d'euros de CA - alors que son coût le met à la portée de tous !
Plus que d’autres méthodes d’optimisations, le testing requiert une méthodologie stricte et rigoureuse pour pouvoir être utilisée efficacement.
Cette conférence a pour objectif de :
- Introduire le concept de testing ainsi que les différents types de tests : A/B, multivarié, ciblage
- Fournir les bases et la méthodologie pour se lancer sereinement dans une démarche de testing (choix des variantes, outils, méthodes statistiques, liens avec les solutions de webanalytics, organisation générale, ...)
- Présenter les best-practices ainsi que les principaux pièges à éviter
Augmenter sa rentabilité grâce au test utilisateurJulien Dereumaux
Méthode de design UX bien trop peu exploitée, elle représente pourtant un moyen très efficace de sauvegarder ses ressources grâce à la participation des utilisateurs.
Pendant ce webinar j'expliquerai tout l'intérêt d'utiliser ce genre de méthode dans vos projets et quels bénéfices vous pouvez en retirer !
ATMTL23 - Le Developer Experience au service de la livraison en continu par A...Agile Montréal
J'expliquerai comment la science a évolué sur la productivité des équipes, comment que la productivité n'est plus une histoire simplement de métriques mais de retirer les frictions du développement (le DevEx). Je ferai des liens sur comment c'est bénéfique monétairement pour vous et l'entreprise de miser sur l'amélioration continue (le ROI d'une transformation DevOps) et des liens avec le message initial de l'agilité il y a deux décennies. Journey to Continuous Delivery.
Horizon permet d'apprendre les techniques de base du Management de projet : planification, maîtrise des risques, optimisation et contrôle des coûts, management d'équipe, ...
un jeu de rôles pour comprendre et mettre en oeuvre les bonnes pratiques de gestion de projet. le jeu repose sur le principe de la mise en situation : prenant en charge des rôles dans une équipe projet, les participants développent un nouveau produit à partir de lego®. Face aux exigences du client et aux aléas de l’environnement, l’équipe découvre les bonnes pratiques (organisation, communication, pilotage, …) pour atteindre les meilleures performances en termes de coûts, performances et délai. Le jeu de rôles est incontournable pour le management de projet : les équipes vivent un vrai projet, reçoivent des mails (points durs, risques, opportunités), réorientent le projet le cas échéant, et sont sous une contrainte de temps.
Lean Office et Lean innovation par James Boqueho de ConstelliumInstitut Lean France
Accélérer le time-to-market, une innovation plus incrémentale et plus forte, plus de nouveaux produits / processus livrés avec les même ressources : James Boqueho, responsable Lean Office chez Constellium détaille les apports du Lean dans les fonctions support du groupe.
Les organisations veulent déployer plus vite pour atteindre leurs objectifs.
Mais elles souhaitent également avoir des applications plus stables dans le temps.
Vitesse et stabilité sont compatibles et les organisations ont un moyen de le découvrir.
Accelerate (la science derrière DevOps) est une recherche de 4 ans qui a défini les pratiques informatiques pour améliorer sa performance organisationnelle: productivité, rentabilité et être plus concurrentiel sur le marché.
La force d’Accelerate est que c’est applicable à toutes les entreprises (note inscrite dans la recherche) et aide aux choix stratégiques dans son entreprise.
Si la culture Agile est déjà présente alors déployer Accelerate est encore plus simple !
A travers cet atelier, vous comprendrez l’idée générale d’accelerate, quelques mécanismes et les résultats qu’Accelerate prédit ».
Crash Test Your Idea Meetup Valtech 13/09/2016André De Sousa
Généralement, lorsque l'on lance un nouveau produit avec en tête de créer une startup, la plupart du temps, on reste la tête baissée dans sa "cave" sans regarder le marché, ni ses clients.
Etes-vous sûr que vous êtes en train de créer le bon produit ?
Durant cette journée de passage à l'acte, notre objectif est de démontrer comment expérimenter, voir même d'aller jusqu'à produire un MVP Lean Startup fonctionnel en quelques heures avec des ressources que je présente et que j'encourage à utiliser.
La journée va se partager en 2 parties distinctes: Une partie théorique ou je présente les outils pour expérimenter et valider très vite son idée. Une seconde partie mise en pratique durant laquelle vous passez à la réalisation de votre Prétotype ou MVP et pendant laquelle je serais à votre disposition pour vous aider.
A l'issue de cette journée vous serez en mesure d'aller confronter votre idée à la réalité du marché et ainsi valider qu'il existe ou non un problème qui vaut la peine d'être résolu.
Webinar TDD / BDD : Comment mieux délivrer et s'entendre pour le Product Owne...DC CONSULTANTS
Support de notre Webinar sur le Test Driven Development ou Alex GON et les Digital Catalysts ont pu proposer leur approche du Testing agile.
Retrouvez le replay sur notre chaine Youtube : https://www.youtube.com/watch?v=vwGhDwszmj8
Pour toute question nous contacter :-) (voir support)
Le développement logiciel expliqué à votre patron en 24 slidesYassine CHAOUCHE
Pour les profanes, ce diaporama explique les différentes phases du développement professionnel de logiciel en utilisant la méthodologie BDUF qui, avec la vague agile/SCRUM très plébicité sur la toille, est souvent stigmatisé et considéré comme "ringarde". Ce n'est pourtant pas l'avis de certain seniors du développement logiciel tel que Steve McConnel auteur à succès de "Code Complete" 1 et 2, numéro 3 des ventes sur Amazon de la catégorie "Software Engineering".
Il est destiné aux non-techniciens (chefs de projets, patrons d'entreprises) qui veulent en savoir plus sur le cycle de développement logiciel.
Mener des experimentations sans sacrifier la qualite - Meetup Agile Testing P...Christopher Parola
Nous avons choisi d’organiser nos équipes en Impact Teams : des équipes pluri-disciplinaires autonomes organisées pour atteindre un objectif.
Cette recherche d’impact nécessite de mener de nombreuses expérimentations sur la plate-forme : comment ne pas tomber dans le piège de pousser du code de mauvaise qualité en production et de le laisser en l’état si l’expérimentation est un succès ? Comment ne pas pousser de bugs en productions qui ralentirait notre capacité à tester ?
Nous parlerons organisation d’équipe, tests de non régressions, tests end to end et contrat de confiance entre Produit et Tech.
Outpost24 webinar - A fresh look into the underground card shop ecosystemOutpost24
In this webinar, we provide insights on some of the most relevant underground card shops, which types of products are offered, their prices, and related threat actors and business models.
Outpost24 webinar Why API security matters and how to get it right.pdfOutpost24
In this webinar, our expert panel will discuss why continuous API security testing is critical to securing your applications and reducing risk of API hacking in the wild. We will provide best practice guidance to improve your API security posture through automated detection for vulnerabilities lurking in API endpoints, ensuring your application business is protected against abuse.
Outpost24 webinar - The new CISO imperative: connecting technical vulnerabili...Outpost24
In this webinar, our expert will discuss why CISOs must embrace unified cyber risk management for greater consolidation and simplification of business risk to build trust and maximize business resilience.
Outpost24 webinar - How to protect your organization from credential theftOutpost24
This document discusses how to protect organizations from credential theft. It provides an overview of the credential theft landscape and lifecycle. It explains how credential thieves gather credentials through various means like exploiting vulnerabilities, using compromised credentials from initial access brokers or ransomware-as-a-service groups, and monitoring for leaked credentials. The document recommends organizations implement account lockouts, anti-automation measures, strong password policies, and support for multi-factor authentication to help prevent credential theft. It promotes the services of Outpost24 and Blueliv to help customers assess security posture and discover threats.
Outpost24 webinar - Enhance user security to stop the cyber-attack cycleOutpost24
We discuss how securing Active Directory and helping employees recognize common attack methods are key to reducing cyber risk to your organization in and out of the office
Outpost24 webinar - Mapping Vulnerabilities with the MITRE ATT&CK FrameworkOutpost24
In this webinar we’ll discuss how you can map CVE records with the MITRE ATT&CK framework to enhance vulnerability management process and achieve better risk management.
Outpost24 webinar: best practice for external attack surface managementOutpost24
This document discusses best practices for external attack surface management. It explains how digital acceleration has increased organizations' attack surfaces and defines external attack surface management. The document outlines how to categorize and assess risk for web applications and common attack vectors in retail, finance and healthcare. It concludes with recommended best practices, which include discovering all external assets, categorizing them, monitoring for changes, and implementing controls like patching, access management and security assessments.
Outpost24 webinar: The state of ransomware in 2021 and how to limit your expo...Outpost24
We explain how best to identify security gaps through threat intelligence to get essential warning of impending ransomware threats targeting your organization.
Outpost24 Webinar - DevOps to DevSecOps: delivering quality and secure develo...Outpost24
Our experts discuss the key considerations for implementing security training and application security into the SDLC, how to engage with developers through gamified learning and embed security testing without any downtime and costing the earth.
Outpost24 webinar - Why asset discovery is the missing link to enterprise vul...Outpost24
learn how an asynchronous approach can help build an enterprise CMDB and automate continuous detection for any new and critical vulnerabilities in your asset repository so you’ll never miss a critical risk again
API 101 discusses how to secure web applications and APIs. APIs are used extensively in web and mobile applications to allow communication between services but this can introduce security weaknesses if not implemented properly. API attacks are a growing threat, with 90% of breaches targeting web applications and APIs projected to become the most common attack vector by 2022. The document outlines security best practices for securing APIs throughout the development lifecycle from design to testing to runtime, and how one company implemented API security testing to improve their compliance and privacy posture.
Outpost24 Webinar - CISO conversation behind the cyber security technologyOutpost24
In this webinar we talk to Outpost24 customer Jaspal Jandu, Deputy Group CISO at ITV Plc and discuss how the iconic British TV channel tackles the growing cybersecurity threats to secure the high availability media operations (think Oprah with Megan and Harry and ITV Hub!) and delight millions of viewers.
Outpost24 webinar - Demystifying Web Application Security with Attack Surface...Outpost24
Learn how to discover every web application you own and ascertain their risk levels through the hacker’s lens to gain a better understanding of the overall attack surface and locate the right path for remediation.
Outpost24 webinar - Winning the cybersecurity race with predictive vulnerabil...Outpost24
Our expert panel share their predictions for the vulnerabilities to watch out for in 2021 and explain how machine learning can be used effectively in these unpredictive times to get you ready for the security challenges ahead.
Outpost24 webinar - Bridging your cyber hygiene gap to prevent enterprise hac...Outpost24
Our security experts present how to step up your cyber hygiene best practice to prevent targeted hacking attempts from remote code execution to network exploitation.
Outpost24 webinar mastering container security in modern day dev opsOutpost24
Our cloud security expert examines the security challenges that come with container adoption and unpack the key steps required to integrate and automate container assessment into the DevOps cycle to help developers build and deploy cloud native apps at speed whilst keeping one eye on security.
Outpost24 webinar mastering container security in modern day dev ops
Outpost24 webinar - Quel est le coût réel d'un test d'intrusion face aux nouvelles cyber-menaces
1. Quel budget pour les tests d'intrusion
face aux nouvelles cyber menaces ?
Nicolas Renard
Mai 2019
2. 2
• Test d’intrusion – Définition et pourquoi il
est important
• Le coût réel d’un pentest
• Test d’intrusion ‘Nouvelle génération’
• Nouveaux challenges – ce que le 21ème
siècle vous réserve
Agenda
3. 3
• Siège social – Suède
• Bureaux commerciaux –
BeNeLux, Allemagne, Pays
scandinaves, RU&I/France,
USA
• Partenaires MSSP et
revendeurs à travers le
monde
• Plus de 130 employés
• + 11M€ CA en 2018, soit
37% de croissance
Qui est Outpost24 ?
4. Un test d’intrusion, couramment appelé
pentest, est une cyber-attaque simulée et
autorisée sur un système informatique,
réalisée afin d’évaluer le niveau de sécurité du
système. Le test est effectué pour identifier les
faiblesses (également appelées vulnérabilités),
y compris la possibilité pour des tiers non
autorisés d'accéder aux fonctionnalités et aux
données du système, ainsi que les forces,
permettant ainsi de réaliser une évaluation
complète des risques. - Source Wikipedia
Il vous aide à comprendre la surface d’attaque
de vos application et réseaux
Test d’intrusion : qu’est-ce que c’est et pourquoi c’est
important ?
4
5. Oui. Les bénéfices que vous pouvez en tirer sont très précieux
• Trouver les « backdoors » – ou ce que vos outils automatisés
manquent
• Hiérarchiser les risques
• Améliorer la détection et les alertes (Top 10 de l'OWASP 2017 A10)
• Valider vos contrôles
• Se conformer aux réglementations locales, nationales et
internationales
Il complète les zones non couvertes par vos tests automatisés
Doit-on faire des tests d’intrusion ?
5
6. A quelle fréquence vos applications changent-elles ?
Est-ce une application critique ?
Est-il question de tester ponctuellement la conformité ou bien cela fait-il
partie de tests à réaliser régulièrement dans le cadre d’un cycle de
développement DevSecOps ?
De nombreux clients effectuent un test d’intrusion une ou deux fois par an
ou tous les trimestres, à la demande du secteur d’activité ou par un tiers.
A quelle fréquence faire un test d’intrusion ? 6
Enquête : Combien de test d’intrusion par application, effectuez-vous annuellement ?
8. Ce que vous pensez payer
8
Un test d’intrusion total de 10 jours à un « tarif journalier » convenu
(750 € à 1 000 € et plus)
Test d’intrusion (10 jours / 7 500 €)
€€
9. Mais vous avez oublié les coûts de préparation
9
Le coût journalier de votre personnel interne (500 €)
Choix du prestataire,
négociation du contrat (5 jours /
2 500 €)
Appel d’offres (2 jours / 1
000 €)
Planning, date de démarrage
(2 jours / 1 000 €)
Un test d’intrusion de 10 jours va réellement
coûter entre 15 et 20 jours une fois le test
effectué
Test d’intrusion + préparation (10 + 9 = 19 jours / 12 000 €)
+ 4 500 €
€€€€
+ 9 jours
10. Et vos dépenses « après test »
10
Un test de 10 jours est plus proche des 8 jours : vous avez eu des
retards, des incidents à gérer ainsi que la remise du rapport.
Maintenant, vous avez un long chemin à parcourir avant de trouver une
solution.
Examen du rapport
(3 jours / 1 500 €)
Ajout dans le suivi des
correctifs (2 jours / 1
000 €)
Ajustements
(1 – 2 jours / 500 €)
Remédiation
(10+ jours / 5 000 €)
Préparation + Test d’intrusion (19 – 2 = 17 jours / mais le
coût est toujours de 12 000 €)
€€€€€€ Ajoutez 16 autres jours et 8 000 € =
potentiellement 20 000 €
11. Appel d’offres
Trouver un prestataire
Choix de la portée du test
Négociation du contrat
Analyser le test
Ajout au suivi des problèmes
Remédiation
Le coût réel d’un test d’intrusion
11
€€
€€€€
€€€€€€
Prix d’achat
Coûts cachés
13. 13
Vous devez être prêt pour les testeurs
• En cas de retard vous perdrez des jours de test
La production est affectée
• Les entreprises se plaignent. Vous devez recommencer.
Vous perdez ½ jour et changez la portée du test
Le testeur doit rédiger un rapport et vous présenter les
résultats
• Cela prend 1,5 / 2 jours pour délivrer
Vos 10 j deviennent : 5 j de test, quelques jours d’attente, 1j
pour rédiger un rapport et une réunion de clôture
• Votre testeur a probablement utilisé des outils automatisés
à 50%+
Vous n’obtenez pas ce
pourquoi vous payez
14. 14
Vous ne pouvez pas savoir si les corrections sont efficaces
• Peut-être que votre scanner automatisé peut aider un
peu
Mais le DAST ne remplace pas vraiment les tests manuels
• Ils ne s’adaptent pas à votre logique métier
• Ils ne trouveront pas ce plugin vulnérable qui donne un
accès administrateur à votre application
• Ils pourraient exécuter une attaque « Buffer overflow »
ou SQLi - endommageant votre application (vous pouvez
blacklister ces pages de l'application mais cela affaiblira
sa capacité à détecter les risques)
• Ils généreront peut-être des faux positifs, ce qui pourrait
vraiment rallonger les temps de correction.
Cela vous laisse songeur
15. Vous considérez le « test » comme un nombre de « jours ouvrés ».
C’est une mauvaise approche du budget. Vous passez à côté de tous
les autres coûts - avant et après le test.
Votre test est probablement automatisé à 50% avec une analyse des
résultats, une journée pour les rapports et une journée pour la
restitution
Vous ne pouvez pas travailler sur la correction avant la fin du test
(suivant les délais) et vous devez attendre que le rapport vous ait été
remis
Vous devrez probablement jongler avec des faux positifs, des
résultats subjectifs et n’aurez aucun moyen réel d’interroger ou de
clarifier les problèmes
Vous ne pouvez pas facilement vérifier que vos équipes de
développement ont résolu les problèmes signalés
Cela vous coûte cher pour une valeur discutable
15
Et pourtant vous le faites encore
16. La définition de la folie, c’est faire
la même chose à répétition
et s'attendre à ce que les résultats
soient différents
16
Albert Einstein
19. A. Ils voulaient un contrat unique, négocié au début d'une période de 12
mois pour couvrir tous les tests
B. Ils voulaient annuler les tests si nécessaire - à la demande.
C. Ils voulaient payer un prix fixe pour l’ensemble des tests
D. Ils voulaient que ce soit flexible. S'ils ont besoin de plus, ils paient plus
Que disent nos clients, vos homologues, sur la procédure ?
19
20. A. Ils ne voulaient pas avoir à définir le périmètre pour chaque
application au préalable.
B. Ils voulaient un test flexible, approfondi, atteignant l’objectif qu’ils se
sont fixé.
C. Ils ne voulaient pas s’inquiéter du nombre de « jours »
D. Ils souhaitaient que les résultats soient présentés dans une seule
interface utilisateur, avec une option d'intégration dans leurs outils CI /
CD
Que disent nos clients, vos homologues, sur la prestation
20
21. A. Ils ne voulaient pas de faux positifs. Tout ce qui est présenté dans
l’interface graphique doit nécessiter une correction.
B. Ils ne voulaient pas attendre la fin du test et la restitution pour
commencer la correction
C. Ils voulaient pouvoir poser des questions ou demander des
éclaircissements au-delà de la durée du test
D. Ils voulaient vérifier que leurs efforts de remédiation avaient été
fructueux, au-delà de la durée du test
E. Ils voulaient remplir la case à cocher « conformité » avec un rapport de
test d'intrusion
Que nous disent nos clients, vos homologues, sur la
remédiation ? 21
22. 22
Nous avons écouté. Nous avons construit. Nos clients sont
venus
Nous avons délivré :
• Contrats annuels
• Groupe de tests à la demande
• Zéro faux positif
• Découvertes postées directement sur l'interface
utilisateur pouvant être corrigées pendant les tests
• Accès direct aux analystes
• Possibilité de demander la vérification des activités de
remédiation
Les clients économisent du temps et de l’argent tout en
étant en mesure de demander des tests adaptés à leurs
procédures SDLC et à leurs délais
Si vous le construisez, ils
viendront
24. Les test d’intrusions traditionnels coûtent plus que vous
ne le pensez
24
Ancien : coût caché pour chaque test
Nouveau : coût fixé d’avance
Ancien : vous testez quand vous pouvez,
en interrompant le cycle de
développement
Nouveau : Test sur demande, inclus dans
le cycle de développement
Ancien : vous corrigez les failles bien
après que les tests soient terminés
Nouveau : vous corrigez au fur et à
mesure que les tests se déroulent
Ancien vs Nouveau
€€
25. • Une poignée de main pour un prix fixe (pas de
coût caché)
• A la demande et flexible
• Accès instantané, pas de retard, vous obtenez
l'épisode dès qu'il est disponible
• Excellente expérience de streaming (sans mise
en mémoire tampon)
• Excellent service client et facilité de contact
avec des représentants compétents
• Lecture et pause flexibles et satisfaction
garantie
Adoptez le modèle Netflix
25
• Contrat unique, une signature, durée de 12
mois
• Groupe de test « à la demande »
• Résultats en libre service disponibles tant que
les tests sont toujours en cours (VIA UI)
• Pas de faux positifs
• Accès aux analystes, pour des questions et
des éclaircissements
• Remédiation des découvertes « à la
demande »
26. Outpost24 offre la combinaison unique
d’un pentest manuel avec une surveillance
24/7. Sa capacité à couvrir les
vulnérabilités connues est un réel
avantage par rapport aux tests d’intrusion
qui doivent être effectués régulièrement
26
Application Manager d’une banque
IPS
WAF
DAST
Logique métier
Est-ce que l’appli est fonctionnelle?
Ne pas attendre la fin du slide pour envoyer le formulaire
- 2 jours : si on a oublié une autorisation de scan par exemple
Ajustements : discussion sur ce qui a été testé, est-ce que le dev avait bien les appli à jour?
Ça se passe à chaque fois que l’on entre dans la démarche d’effectuer un test d’intrusion
Vous avez peut-être oublié de blacklister quelquechose, il peut y avoir des consequences, des arrêts de production, une perte de temps
Encore et toujours cette façon traditionnelle
habitude
Ça ne veut pas dire que cette façon de faire des pentests est mauvaise,
ça veut dire qu’il faut peut-être penser différemment
Il y a peut-être moyen d’être mieux adapté aux dev continus et devops