en sv
Contactez-nous
en sv
Nos services
icon-software_testing

Test Logiciel
icon-test_automation Automatisation des Tests icon-performance_testing Test de performance icon-ai_testing L'IA appliquée au test logiciel icon-sap_testing Tests des systèmes SAP
icon-qa_methodology

Méthodologies QA
icon-agile Méthodes Agiles icon-continuous_integration CI/CD icon-risk_based_testing Risk-based Testing icon-embedded_testing Tests de systèmes embarqués
icon-management

GESTION DE PROJETS QA
icon-strategy Stratégie de test icon-management Test Management
icon-cybersecurity

Cybersecurite
icon-penetration_testing Tests d'intrusion icon-software_testing Analyses des vulnérabilités icon-operational_security Sécurité opérationnelle
icon-systems

Systèmes de Test
icon-additional_services

End-to-end QA
icon-requirements Exigences icon-ux_design UX Design icon-development Développement logiciel icon-training-1 Formations test et QA
Qui sommes-nous
Carrières
icon_collaboration

Découvrez-nous
icon-personal_development

We take you further
icon-about_us

Imaginez-vous chez QESTIT
Ressources
icon-news

Actualités
icon-blog

Blog
icon-resources

Plus de ressources
Contactez-nous
Security Awareness with Regards to External Third-Party Service Providers-1

Collaborer avec des prestataires de services : les questions de sécurité

Il existe différents types de méthodologies et de normes utilisées dans le monde des technologies de l'information pour créer une base de référence pour des pratiques d'exploitation sécurisées. Cela concerne non seulement l'infrastructure et les logiciels informatiques, mais aussi les personnes impliquées.

 

Dans notre travail quotidien, nous tombons sur des tests où nos clients manquent de routines sûres en matière de gestion des correctifs, de codage, de tests et ne comprennent tout simplement pas les risques potentiels. Il est de notre devoir de les aider. De les éduquer là où ils en ont besoin et quand ils en ont besoin. En tant que professionnels de la sécurité, nous devons nous préoccuper nous-mêmes de la sécurité, afin qu'ils sachent à leur tour que nous nous préoccupons de la leur.

 

Avec le passage à l'utilisation des machines d'autres personnes (AKA, "The Cloud") pour soutenir l'infrastructure, les plates-formes et les services sur site, de nouvelles politiques et procédures doivent être prises en compte. Ces "nouveaux" environnements sont souvent présentés comme totalement sûrs. Bien qu'ils puissent l'être en eux-mêmes, ce que vous avez construit au-dessus de la fondation est une toute autre histoire. Vous pouvez construire les fondations les plus solides, mais si la structure qui les recouvre s'effondre... à quoi bon ?

 

Vos données sont-elles sécurisées ?

 

Cela nous amène à parler des fournisseurs de services tiers externes. La plupart des entreprises ont besoin de solutions multiples pour leurs activités quotidiennes. Tous ces besoins ne peuvent pas être satisfaits à l'aide de ressources internes ou d'applications sur mesure. Les raisons peuvent varier, mais le coût est généralement un facteur important dans cette décision. Soit la solution actuelle fait perdre trop de temps à l'entreprise, soit la conception d'une application interne serait trop coûteuse en termes de construction, de développement et de maintenance. Si vous pouvez penser à un problème, il y a généralement d'autres personnes qui ont le même problème. Et souvent, il existe une solution à ce problème quelque part sur l'un des différents sites Internet.

 

Le principal argument de vente est qu'il s'agit d'un service prêt à l'emploi, dont la maintenance est assurée par quelqu'un d'autre. Tout ce que vous avez à faire, c'est de l'utiliser. Bien entendu, cela entraîne des problèmes potentiels. Vous n'avez pas le contrôle total de ce qui se passe. Et pourquoi le feriez-vous ? Vous avez payé quelqu'un d'autre pour s'en occuper !

 

Lorsque vous confiez vos données à quelqu'un d'autre, vous voulez vous assurer qu'elles sont traitées correctement et en toute sécurité. Lorsque vous vous adressez à une entreprise au sujet de son produit, vous devez tenir compte de plusieurs éléments :

 

  • Transparence
  • Flexibilité
  • Cryptage
  • Sécurité

 

Transparence

 

L'utilisation de nombreuses plateformes de médias sociaux est "gratuite" et vous devez simplement accepter leurs conditions d'utilisation. Si vous achetez un produit, vous devriez avoir certains droits concernant ce que vous achetez, ainsi qu'une excuse légitime pour vous plaindre si quelque chose ne correspond pas à ce qui est annoncé.

 

L'une des premières questions à poser au fournisseur devrait être : "Quelle est votre politique de sécurité ? Quelles sont vos procédures de sécurité ? Des tests de pénétration sont-ils effectués régulièrement, voire jamais ? Et pouvons-nous consulter ces rapports ? Oui, c'est plus d'une question. Ce n'est pas toujours aussi simple.

 

Nous pensons que s'ils ne sont pas préparés à ces réponses, c'est qu'ils ne font pas de la sécurité une priorité. S'ils ne sont pas prêts à partager leur politique et leurs procédures, il se peut qu'ils ne considèrent pas la sécurité comme une priorité. S'ils ne veulent pas partager les résultats de tests de pénétration antérieurs, il se peut qu'ils essaient de cacher quelque chose.

 

Flexibilité

 

Même si vous achetez un produit prêt à l'emploi, il peut être nécessaire de l'adapter aux besoins spécifiques de votre entreprise. Ce ne sont pas les besoins et les exigences qui sont déterminants. Il s'agit plutôt de savoir s'ils sont réceptifs à vos besoins. S'intéressent-ils à vos questions ? Semble-t-il disposé à vous aider à trouver une solution ? Est-il possible de faire des compromis ?

 

Certains services ne peuvent tout simplement pas être flexibles dans leur mise en œuvre. Mais cela peut être l'occasion de voir comment l'entreprise traite ses clients.

 

Cryptage

 

L'utilisation du cryptage pour protéger la transmission de données sur l'internet est désormais une pratique courante. Fin 2018, le pourcentage de trafic utilisant le protocole HTTPS est supérieur à 72 %. et l'escalade. Il s'agit d'une augmentation considérable par rapport aux années précédentes ! Et bien que ce soit une excellente chose, cela ne garantit en aucun cas que le système est correctement mis en œuvre. Le protocole SSL/TLS est-il correctement mis en œuvre ? Les normes les plus récentes sont-elles appliquées ? Devez-vous "payer pour jouer" afin d'obtenir le meilleur service et le meilleur cryptage ? Votre environnement "sûr" se trouve-t-il sur la même machine que les autres clients qui ne veulent pas payer pour les options de sécurité haut de gamme ? ... Cela vous met un peu mal à l'aise, n'est-ce pas ? On a oublié de vous le dire ? Oups ! Je suppose que votre cryptage sophistiqué n'a plus vraiment d'importance maintenant...

 

Sécurité

 

Enfin, nous en arrivons à la raison principale pour laquelle nous sommes ici et pourquoi nous faisons ce que nous faisons. Nous nous soucions de la sécurité. Non seulement pour nos clients, mais aussi pour nous-mêmes, car en réalité, tout est lié d'une manière ou d'une autre.

 

Nous voyons beaucoup de problèmes dans notre travail quotidien. Le Top 10 de l'OWASP n'est pas une liste arbitraire, ces problèmes sont très répandus. Les raisons pour lesquelles nous continuons à voir ces problèmes sont infinies et nous pourrions les énumérer toute la journée. Mais on en revient toujours à la même chose. L'élément humain est souvent considéré comme le maillon le plus faible de la chaîne. Peu importe les produits et services de sécurité sophistiqués que vous achetez, ils sont tous inutiles s'ils ne sont pas configurés correctement, s'ils ne sont pas allumés/branchés, s'ils ne font pas l'objet de correctifs réguliers ou s'ils sont trop difficiles à gérer.

 

Derniers mots

De la même manière que vous vérifiez correctement les antécédents d'un nouvel employé potentiel, des références valables, une compréhension technique du rôle pour lequel vous recrutez, le même processus et la même méthodologie doivent être appliqués lors de l'examen d'une candidature potentielle d'un tiers. Si vous avez plus d'un candidat plausible, ne tombez pas dans le piège des coûts. N'excluez pas cette option avant d'avoir posé ces questions plus approfondies concernant la sécurité.

 

Pour vous aider, nous avons élaboré une liste de contrôle qui pourrait et devrait être utilisée comme questionnaire lors de l'examen des services tiers que vous pourriez envisager d'utiliser. Nous avons ajouté ce que nous pensons être quelques bonnes questions pour commencer à évaluer la maturité de la sécurité de l'application d'un fournisseur de services.

 

Pour téléchargez la liste, cliquez ici.

Mattias Döj

Mattias a un grand sens de l'humour et aime rencontrer de nouvelles personnes. Au cours de sa carrière dans le domaine de la sécurité informatique, il a travaillé à l'échelle mondiale pour effectuer divers tests d'intrusion.

Restez Informés Envie d'en savoir plus ?

Recevez directement par e-mail nos derniers articles sur l'assurance qualité, nos guides spécialisés, des invitations à des webinaires et autres événements.

share the article

Sièges

QESTIT

20 rue d’Athènes
75009 Paris, France

QESTIT AG

Thurgauerstrasse 54
8050 Zurich, Suisse

Voir toutes nos agences
Suivez-nous sur les réseaux :
linkedin linkedin instagram instagram youtube youtube
Nos Services
Test Logiciel Méthodologies QA Gestion de projets QA Cybersécurité Systèmes de tests End-to-end QA
A propos
A propos de QESTIT Carrières Offres d'emploi Contact
Ressources
Actualités Blog Plus de ressources
Copyright© 2024 Qestit
Politique de confidentialité Mentions Légales