Hack Protect

Logo Oceanet Technology
Logo Oceanet Technology
Hack Protect
 

Tous les jours, chaque site web est scanné des dizaines de fois par des robots malveillants. Leurs objectifs : réaliser une cartographie des futures brèches et une détection des failles actives.

Détecter les failles applicatives avant les pirates

Vos applications web voient passer chaque jour des dizaines de robots d’indexation. Parmi ces derniers figurent vos moteurs de recherche favoris (Google, Bing, Yahoo, Qwant, Yandex, DuckDuck …) ainsi que des solutions de cartographie des logiciels, plugins, versions utilisées.

Lors de la parution de failles applicatives, les pirates n’ont plus qu’à exécuter des robots de prise de main sur la liste des sites web potentiels. Un bon nombre parmi ces derniers n’aura probablement pas encore déployé les mises à jour.

En parallèle de ces attaques planifiées, ils tentent également des attaques « basiques » sur vos contenus :

  • injection de scripts dans les formulaires
  • exécution de code distant
  • dépassement mémoire de l’application
  • accès à des pages non publiées
  • etc

La liste des moyens d’attaque est malheureusement longue. Pour vous en prémunir, la solution idéale est de « faire comme eux » en exécutant des applications similaires sur vos propres sites web.

Hack Protect

Nous vous proposons un accompagnement à la détection des failles et vulnérabilités de votre site web grâce à l’outil  de notre partenaire QUALYS

* La mise à jour de l’outil de détection des vulnérabilités est automatisée, standardisée et normée. Ainsi les nouvelles menaces ou failles sont détectables en permanence.

* Un rapport détaillé est réalisé par nos experts techniques où chaque vulnérabilité est décrite et classée selon son degré de criticité et son impact.

* La prestation peut être souscrite en formule OneScan (une seule analyse) ou en Abonnement mensuel pour un contrôle continu de la sécurité de votre site web.

Un rapport technique est mis a disposition d’un comité technique.

  • Toutes les vulnérabilités détectées sont décrites et détaillées.
  • Les risques sont classés par criticité.
  • Chaque criticité est fonction de l’impact réel, du niveau d’expertise requis (pirate) ou de la disponibilité d’outils pour son exploitation.

 

Un rapport synthétique est réalisé à destination des comités de pilotage ou direction.

  • Il résume les points forts et points faibles du site
  • Il décrit les risques majeurs et leurs impacts opérationnels
  • Il propose un plan d’amélioration.

Tests automatisés : une démarche continue

La réalisation de tests Hack Protect est fortement conseillée dans un process continu.

  • De nouvelles failles sont découvertes/publiées chaque semaine
  • Les mises a jour des produits modifient le périmètre applicatif
  • L’usage de modules/plugin apporte une élasticité à votre code

Dans le cadre d’une sécurité organisationnelle certifiante  (ISO27001 ou autre), les rapports réguliers mis à votre disposition et leurs plans d’action seront des supports pertinents.

Dans le cadre d’un contrat «  »annuel » », il est fortement conseillé de mettre en place une infrastructure de pré-production.

Copie «  »passive » » de votre application, cette solution permet :

  • D’éviter des modifications dans vos bases de données  (lors de tests)
  • De mettre en oeuvre les plans d’actions prioritaires avant publication des évolutions majeures

Éviter les 85% d’attaques opportunistes

Aujourd’hui, pirater un site web est devenu d’une simplicité enfantine. Le manque de maintien opérationnel et de mise à jour des failles applicatives est source de plus de 85% des attaques WEB.

Parmi les attaquants on trouve fréquemment des « pirate en herbe »  (script kiddies).  Un enfant d’une dizaine d’années trouvera sur Youtube en quelques clics une explication sur l’exploitation des failles les plus fréquentes. Certains ne manqueront pas de « tester la solution » pour se prouver qu’ils peuvent le faire.  Évitons cela !


 

Equipes certifiées Oracle Gold, Microsoft Gold, VMWare Professionnal

Externalisation en datacenter, cloud privé ou public. Service support 24×5

4 500 serveurs virtuels en production, 3 centres de production

Centralisation des logs, enregistrement des interventions administrateurs, authentification forte … adoptez une infogérance renforcée