Deloitte : HelloID Scan de Sécurité
Deux fois par an, les experts de Deloitte testent et examinent la sécurité de notre service HelloID. Les tests récents ont montré que le niveau de sécurité de HelloID est élevé. Pour Tools4ever, ces analyses régulières sont essentielles pour maintenir notre vigilance et nous inciter à améliorer constamment notre technologie et nos services. Pour nos clients, c’est rassurant de savoir que tous les six mois, des spécialistes indépendants scrutent la solution HelloID avec un regard critique, nous permettant de découvrir les vulnérabilités potentielles avant qu’elles ne causent du tort.
Pourquoi optons nous pour une analyse par des « hackers éthiques » externes ?
Même si Tools4ever possède une équipe interne d’experts en sécurité et développe des solutions de gestion des identités et des accès, nous croyons fermement à l’importance d’une évaluation externe et objective de nos systèmes. Ce type d’audit nous maintient en alerte et prévient l’apparition de zones d’ombre. Nous pensons sincèrement qu’un œil neuf apporte une nouvelle perspective. Cette démarche externe assure une vigilance constante et renforce la qualité globale de notre sécurité ainsi que de celle de nos solutions.
En choisissant les hackers éthiques de Deloitte, nous optons pour des experts en sécurité indépendants et hautement qualifiés, dont l’intégrité est garantie par Deloitte. Nous tenons non seulement à assurer la qualité des tests de sécurité, mais aussi la fiabilité des testeurs, pour que vous, en tant que client, soyez assuré que les résultats des tests ne seront pas mal utilisés.
Champ d’application de l’audit de sécurité d’HelloID
L’audit de sécurité semestrielle HelloID dépasse largement le cadre d’une simple procédure formelle. Elle ne se limite pas à une simple revue du design et des spécifications de HelloID. Cette analyse implique des tentatives réelles d’intrusion par des hackers éthiques professionnels. Formés à adopter la perspective d’un cybercriminel chevronné, ces spécialistes s’attèlent à identifier des failles de sécurité qui pourraient échapper à la plupart des observateurs. Pour cela, ils s’appuient sur des référentiels reconnus tels que les directives NCSC ICT-B v2 et les OWASP Top 10 Application Security Risks des années 2013 et 2017.
Naturellement, le test inclut les tests blackbox traditionnels, visant à pénétrer le système sans connaissance préalable pour accéder aux fonctionnalités et données. Mais dans nos tests de sécurité d’application, les testeurs vont plus loin en effectuant des tests de grey box. Dans un test grey box, ils recherchent également des faiblesses de sécurité dans des composants spécifiques d’HelloID, tout en ayant des informations sur le fonctionnement interne du logiciel. Enfin, ils examinent les possibilités offertes aux utilisateurs autorisés dans le système. Peuvent-ils faire plus que ce qui est prévu ? C’est crucial, car nous savons que de nombreuses fraudes et attaques se produisent au sein même des organisations. Chez HelloID, nous ne testons donc pas seulement la qualité de la porte d’entrée, mais aussi la sécurité de l’application une fois qu’un utilisateur est légitimement à l’intérieur.
Les tests couvrent toute la gamme des vulnérabilités potentielles, des notifications système peut-être trop détaillées aux vulnérabilités de cross-site scripting (XSS).
Analyse des risques
Chaque vulnérabilité potentielle identifiée reçoit une qualification de risque qui nous aide à prioriser la résolution du problème. Cette estimation du risque dépend de la probabilité qu’une vulnérabilité potentielle soit découverte et exploitée, et de son impact si cela se produit:
- La probabilité dépend, par exemple, de la complexité de la vulnérabilité concernée. Est-elle exploitable en suivant un simple mode d’emploi, ou un accès physique aux serveurs est-il nécessaire pour l’exploiter ?
- L’impact est l’étendue des dommages potentiels qu’une vulnérabilité pourrait causer. Il y a évidemment une grande différence entre une interruption temporaire du service et une fuite de données sensibles.
Les risques identifiés comme faibles ou moyens sont documentés dans le rapport de test, et nos experts prennent alors les mesures nécessaires. En cas de risques élevés imprévus, ceux-ci sont immédiatement signalés par les testeurs, ce qui permet aux spécialistes de Tools4ever de réagir rapidement pour élaborer et déployer des solutions adaptées. Heureusement, il est rare de rencontrer de telles vulnérabilités.
À chaque test, il y a bien sûr des risques faibles et moyens. La technologie évolue continuellement, tout comme les connaissances et les outils disponibles pour les acteurs malveillants. Cela signifie que nous ne sommes jamais totalement prêts et trouvons à chaque fois des points à améliorer. C’est là toute la valeur ajoutée d’un tel audit de sécurité semestriel. Nous restons vigilants et maintenons la sécurité du service HelloID totalement à jour.
Vous souhaitez en savoir plus sur cet audit de sécurité ?
Nous ne pouvons pas publier le contenu détaillé de nos audits de sécurité. Cependant, nos clients voient régulièrement l’effet de ces audits sous forme de modifications, d’améliorations et de corrections de bugs dans nos notes de mise à jour régulières. De plus, nos gestionnaires de comptes sont toujours prêts à en dire davantage sur nos tests de sécurité réguliers.
Tools4ever lance mensuellement de nouvelles fonctionnalités et mises à jour du logiciel HelloID. Souhaitez-vous rester informé ?