{"id":440407,"date":"2022-10-31T15:58:31","date_gmt":"2022-10-31T17:58:31","guid":{"rendered":"https:\/\/teknomers.com\/fr\/conseils-pour-choisir-une-entreprise-de-pentesting\/"},"modified":"2022-10-31T15:58:31","modified_gmt":"2022-10-31T17:58:31","slug":"conseils-pour-choisir-une-entreprise-de-pentesting","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/conseils-pour-choisir-une-entreprise-de-pentesting\/","title":{"rendered":"Conseils pour choisir une entreprise de pentesting"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgCMD-YC0xPgWoaM1CZVUdcAD6B_XFJ1xH9rgTdxDp19NN1lKH2d1M0tBT_hmMqI3MQHrMVJpm1c6A2cOkAv6VpPD1lqihq7QP1JlLQtDGsrXmeHU_QfKOZMNg7jtu-dUYculbwdpCBMuolxY9N-HBgnsmmmzHW6chzkiAlY99w9pOQU3z4F0b0Hh6V\/s728-e100\/intru.jpg\"\/><\/div>\n<p>Dans le monde actuel des syst\u00e8mes de piratage automatis\u00e9s, des violations de donn\u00e9es fr\u00e9quentes et des r\u00e9glementations de protection des consommateurs telles que GDPR et PCI DSS, les tests d&#8217;intrusion sont d\u00e9sormais une exigence de s\u00e9curit\u00e9 essentielle pour les organisations de toutes tailles.  Mais que devez-vous rechercher lorsque vous choisissez le bon fournisseur ?<\/p>\n<p>Le grand nombre de fournisseurs peut \u00eatre d\u00e9courageant, et en trouver un qui peut fournir un test de haute qualit\u00e9 \u00e0 un prix raisonnable n&#8217;est pas facile.  Comment savoir s&#8217;ils sont bons ?  Quel niveau d&#8217;expertise en mati\u00e8re de s\u00e9curit\u00e9 a \u00e9t\u00e9 inclus dans le rapport\u00a0?  Votre application est-elle s\u00e9curis\u00e9e ou le fournisseur n&#8217;a-t-il tout simplement pas trouv\u00e9 les faiblesses\u00a0?<\/p>\n<p>Il n&#8217;y a pas de r\u00e9ponses faciles, mais vous pouvez faciliter les choses en posant les bonnes questions d\u00e8s le d\u00e9part.  Les consid\u00e9rations les plus importantes se r\u00e9partissent en trois cat\u00e9gories\u00a0: les certifications, l&#8217;exp\u00e9rience et le prix.<\/p>\n<h2 style=\"text-align: left;\">Certificats<\/h2>\n<p>Les certifications sont le meilleur endroit pour commencer, car elles fournissent un raccourci rapide pour \u00e9tablir la confiance.  Les certifications professionnelles disponibles ne manquent pas, mais l&#8217;une des plus reconnues est CREST (Council of Registered Ethical Security Testers). <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.crest-approved.org\/\" target=\"_blank\">CR\u00caTE<\/a> a \u00e9t\u00e9 mis en place par les principaux cabinets de conseil britanniques en mati\u00e8re de tests d&#8217;intrusion pr\u00e9cis\u00e9ment pour r\u00e9soudre ce probl\u00e8me, et c&#8217;est maintenant une marque de qualit\u00e9 reconnue internationalement pour une vari\u00e9t\u00e9 de disciplines de cybers\u00e9curit\u00e9.<\/p>\n<p>Vous devez toujours savoir ce qu&#8217;il faut rechercher, car CREST a \u00e0 la fois une certification au niveau de l&#8217;entreprise, ainsi que des certifications individuelles o\u00f9 chaque testeur doit passer un examen pour prouver ses comp\u00e9tences.  Avoir l&#8217;un ne signifie pas que vous avez l&#8217;autre.<\/p>\n<p>L&#8217;accr\u00e9ditation \u00e0 l&#8217;\u00e9chelle de l&#8217;entreprise (&#8220;soci\u00e9t\u00e9 membre CREST&#8221;) est accord\u00e9e aux entreprises qui peuvent prouver que leurs politiques, processus et proc\u00e9dures sont \u00e0 la hauteur.  Cela permet aux entreprises de test d&#8217;intrusion de montrer qu&#8217;elles suivent les bonnes pratiques sur papier et utilisent des m\u00e9thodologies de test de s\u00e9curit\u00e9 appropri\u00e9es.  Cependant, demander \u00e0 une \u00ab entreprise membre du CREST \u00bb d&#8217;effectuer un test d&#8217;intrusion ne garantit pas que le consultant effectuant votre test est lui-m\u00eame certifi\u00e9, mais simplement que l&#8217;entreprise est moralement oblig\u00e9e de vous fournir un testeur adapt\u00e9.<\/p>\n<p>Assurez-vous de poser des questions sur le v\u00e9ritable testeur qui effectuera le travail &#8211; ont-ils les certifications et l&#8217;exp\u00e9rience appropri\u00e9es\u00a0?<\/p>\n<p>Pour cette raison, CREST a \u00e9galement diff\u00e9rents niveaux m\u00eame pour les testeurs individuels, des certificats d&#8217;entr\u00e9e de gamme aux examens pratiques complexes dans diff\u00e9rents domaines sp\u00e9cialis\u00e9s.  Il est important d&#8217;examiner \u00e0 la fois le niveau de certification et s&#8217;il est sp\u00e9cifique au type de test d&#8217;intrusion que vous recherchez.  Nous avons d\u00e9crit ci-dessous les certifications CREST disponibles pour les tests d&#8217;intrusion\u00a0:<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"551\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjVywWit2hpJ30Bzgr9ct0n-WKAA-XI4NVajhTV-mAFz6qTHvQ7gyuOSHgPJqCM-PZL-QuZY4ykGqLuXvSQZZj0SGNHZuiAe9g5D7kPL-_kuZQoWjJJGQJvA1q7ZEGTOCOO56vljq7R6k_77TH4mfdplxLcJ3jw9MlJl-hRH9wS5TSxm9OzjOmFaSjp\/s728-e100\/PENTEST.jpg\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Que vous recherchiez un junior, un senior ou un sp\u00e9cialiste d\u00e9pendra de l&#8217;app\u00e9tit pour le risque de votre organisation.  Les gouvernements demandent g\u00e9n\u00e9ralement des sp\u00e9cialistes, les startups avec des profils de risque plus faibles pourraient convenir aux juniors.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Bien que les certifications soient utiles, elles ne peuvent pas tout couvrir.  Il existe de nombreux types de technologie, et vous ne pouvez pas passer un examen pour couvrir chacun d&#8217;entre eux.  Comme vous pouvez le voir sur le diagramme ci-dessus, il n&#8217;y a pas d&#8217;examen CREST pour AWS, ni pour les appareils int\u00e9gr\u00e9s, ni pour les applications mobiles. <\/p>\n<p>Les testeurs d&#8217;intrusion sont comme des m\u00e9decins\u00a0;  ils ont un large \u00e9ventail de connaissances et de comp\u00e9tences, mais il n&#8217;y a pas toujours de manuel pour le patient dont vous avez affaire.  C&#8217;est alors que l&#8217;exp\u00e9rience peut entrer en jeu.<\/p>\n<h2 style=\"text-align: left;\">Vivre<\/h2>\n<p>Un autre facteur important est l&#8217;exp\u00e9rience que votre testeur de stylo a \u00e0 son actif.  Plus ils seront expos\u00e9s, mieux ils seront capables de d\u00e9couvrir un plus large \u00e9ventail de menaces \u00e0 la s\u00e9curit\u00e9.<\/p>\n<p>Il est \u00e9galement important de noter que toutes les exp\u00e9riences ne sont pas \u00e9gales, car certains types de tests peuvent impliquer des comp\u00e9tences sp\u00e9cifiques dans des technologies particuli\u00e8res, comme AWS Cognito ou le protocole de messagerie en temps r\u00e9el.  Assurez-vous que votre fournisseur poss\u00e8de une exp\u00e9rience pertinente dans les technologies avec lesquelles vous travaillez.<\/p>\n<p>N&#8217;oubliez pas qu&#8217;il n&#8217;y a peut-\u00eatre pas de testeur exp\u00e9riment\u00e9 dans toutes les technologies, vous devrez donc peut-\u00eatre faire preuve de flexibilit\u00e9.  Un bon testeur d&#8217;intrusion sera en mesure d&#8217;en savoir plus sur la technologie dont vous avez besoin, en se basant sur les comp\u00e9tences et les principes d&#8217;autres disciplines, mais il lui faudra peut-\u00eatre plus de temps pour se familiariser avec la technologie \u00e0 port\u00e9e de main.  Ce qui pourrait se r\u00e9percuter sur le prix\u2026<\/p>\n<h2 style=\"text-align: left;\">Prix<\/h2>\n<p>Lorsque les clients demandent le co\u00fbt moyen d&#8217;un test d&#8217;intrusion, c&#8217;est comme demander combien de temps dure un bout de ficelle.  Cela d\u00e9pend de ce avec quoi vous travaillez et de la profondeur \u00e0 laquelle vous devez aller.  Imaginez peindre un pont : cela d\u00e9pend de sa taille et du nombre de couches de peinture que vous voulez.  Une seule couche pourrait vous exposer aux \u00e9l\u00e9ments.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"462\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/10\/Conseils-pour-choisir-une-entreprise-de-pentesting.jpg\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Demander combien co\u00fbte un test d&#8217;intrusion, c&#8217;est comme demander combien co\u00fbterait la peinture d&#8217;un pont.  Cela d\u00e9pend de la taille du pont, des facteurs de complication et de la couverture que vous souhaitez obtenir.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Par cons\u00e9quent, les tests d&#8217;intrusion sont g\u00e9n\u00e9ralement indiqu\u00e9s sur la base d&#8217;un \u00abtaux journalier\u00bb et, tr\u00e8s largement, vous pouvez vous attendre \u00e0 payer entre 800 et 1 500 \u00a3.<\/p>\n<p>Les tarifs journaliers varient d&#8217;un fournisseur \u00e0 l&#8217;autre en fonction de facteurs tels que la r\u00e9putation, les certifications, les exigences et l&#8217;exp\u00e9rience particuli\u00e8res, bien que des remises puissent \u00eatre n\u00e9goci\u00e9es si vous achetez beaucoup de jours (plus de quinze jours seraient consid\u00e9r\u00e9s comme un test important).<\/p>\n<p>Pour comprendre la dur\u00e9e de votre travail, le fournisseur devra souvent obtenir une d\u00e9monstration de votre produit ou recueillir des informations sur votre environnement.  En r\u00e8gle g\u00e9n\u00e9rale, moins ils posent de questions \u00e0 ce stade, moins vous avez de chances d&#8217;obtenir un travail cit\u00e9 avec pr\u00e9cision. <\/p>\n<p>Il n&#8217;y a pas non plus de norme en ce qui concerne la port\u00e9e d&#8217;un travail, vous pouvez donc trouver des estimations diff\u00e9rentes.  Un fournisseur peut d\u00e9finir un travail comme 3 jours de travail et un autre comme 5 jours. Ce sont les meilleures estimations\u00a0;  il est difficile d&#8217;\u00eatre s\u00fbr jusqu&#8217;\u00e0 ce que vous fassiez le travail.<\/p>\n<p>Vous pouvez m\u00eame acheter des pentests &#8220;forfaitaires&#8221;, mais pour en revenir \u00e0 l&#8217;analogie du pont, vous devriez probablement vous pr\u00e9occuper de la couverture s&#8217;ils l&#8217;offrent \u00e0 un tarif fixe sans demander l&#8217;ampleur du travail.<\/p>\n<p>Comme pour tout dans la vie, le prix qui vous est propos\u00e9 doit refl\u00e9ter la qualit\u00e9 du test de p\u00e9n\u00e9tration &#8211; mais dans une industrie o\u00f9 la qualit\u00e9 d&#8217;un test est difficile \u00e0 juger, il y a forc\u00e9ment des commer\u00e7ants malhonn\u00eates.  Posez les bonnes questions et ne n\u00e9gligez pas la diligence raisonnable.<\/p>\n<h2 style=\"text-align: left;\">Aller au-del\u00e0 des tests de p\u00e9n\u00e9tration ponctuels<\/h2>\n<p>L&#8217;utilisation des tests d&#8217;intrusion comme seule m\u00e9thode de d\u00e9tection des vuln\u00e9rabilit\u00e9s pose des probl\u00e8mes majeurs.<\/p>\n<p>Tout d&#8217;abord, bien qu&#8217;ils soient approfondis, les tests d&#8217;intrusion ne couvrent qu&#8217;un point dans le temps.  Avec 20 nouvelles vuln\u00e9rabilit\u00e9s identifi\u00e9es chaque jour, les r\u00e9sultats de vos tests d&#8217;intrusion risquent d&#8217;\u00eatre obsol\u00e8tes d\u00e8s que vous recevrez le rapport.<\/p>\n<p>Non seulement cela, mais les rapports peuvent prendre jusqu&#8217;\u00e0 six mois \u00e0 produire en raison du travail impliqu\u00e9, ainsi que plusieurs mois pour dig\u00e9rer et agir.<\/p>\n<p>Ils peuvent \u00eatre tr\u00e8s co\u00fbteux &#8211; co\u00fbtant souvent des milliers de livres \u00e0 chaque fois.<\/p>\n<p>Alors que les pirates trouvent des m\u00e9thodes plus sophistiqu\u00e9es pour s&#8217;introduire dans vos syst\u00e8mes, quelle est la meilleure solution moderne pour vous garder une longueur d&#8217;avance\u00a0?<\/p>\n<p>Afin d&#8217;obtenir l&#8217;image la plus compl\u00e8te de votre posture de s\u00e9curit\u00e9, vous devez combiner une analyse automatis\u00e9e des vuln\u00e9rabilit\u00e9s et des tests d&#8217;intrusion men\u00e9s par l&#8217;homme.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.intruder.io\/vanguard?utm_source=referral&amp;utm_campaign=thehackernews-how-to-choose-a-pentesting-company\" target=\"_blank\">Avant-garde des intrus<\/a> fait exactement cela, en r\u00e9unissant l&#8217;expertise en mati\u00e8re de s\u00e9curit\u00e9 et une couverture continue pour trouver ce que les autres scanners ne peuvent pas.  Il comble l&#8217;\u00e9cart entre la gestion traditionnelle des vuln\u00e9rabilit\u00e9s et les tests de p\u00e9n\u00e9tration ponctuels, pour fournir une surveillance continue de vos syst\u00e8mes.  Avec les meilleurs professionnels de la s\u00e9curit\u00e9 au monde \u00e0 port\u00e9e de main, ils approfondiront leurs recherches, trouveront plus de vuln\u00e9rabilit\u00e9s et fourniront des conseils sur leur impact direct sur votre entreprise pour vous aider \u00e0 tenir les attaquants \u00e0 distance.<\/p>\n<h2>\u00c0 propos de l&#8217;intrus<\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.intruder.io\/?utm_source=referral&amp;utm_campaign=thehackernews-how-to-choose-a-pentesting-company\" target=\"_blank\">Intrus<\/a> est une soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 qui aide les organisations \u00e0 r\u00e9duire leur surface d&#8217;attaque en fournissant des services continus d&#8217;analyse des vuln\u00e9rabilit\u00e9s et de tests d&#8217;intrusion.  Le puissant scanner d&#8217;Intruder est con\u00e7u pour identifier rapidement les failles \u00e0 fort impact, les modifications de la surface d&#8217;attaque et analyser rapidement l&#8217;infrastructure \u00e0 la recherche de menaces \u00e9mergentes.  En ex\u00e9cutant des milliers de v\u00e9rifications, qui incluent l&#8217;identification des erreurs de configuration, des correctifs manquants et des probl\u00e8mes de couche Web, Intruder rend l&#8217;analyse des vuln\u00e9rabilit\u00e9s de niveau entreprise facile et accessible \u00e0 tous.  Les rapports de haute qualit\u00e9 d&#8217;Intruder sont parfaits pour \u00eatre transmis \u00e0 des clients potentiels ou pour se conformer aux r\u00e9glementations de s\u00e9curit\u00e9, telles que ISO 27001 et SOC 2. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.intruder.io\/?utm_source=referral&amp;utm_campaign=thehackernews-how-to-choose-a-pentesting-company\" target=\"_blank\">Intruder offre un essai gratuit de 30 jours<\/a> de leur plateforme d&#8217;\u00e9valuation des vuln\u00e9rabilit\u00e9s.  Visitez leur site Web aujourd&#8217;hui pour l&#8217;essayer!<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/tips-for-choosing-pentesting-company.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dans le monde actuel des syst\u00e8mes de piratage automatis\u00e9s, des violations de donn\u00e9es fr\u00e9quentes et des r\u00e9glementations de protection des consommateurs telles que GDPR et PCI DSS, les tests d&#8217;intrusion sont d\u00e9sormais une exigence de s\u00e9curit\u00e9 essentielle pour les organisations de toutes tailles. Mais que devez-vous rechercher lorsque vous choisissez le bon fournisseur ? Le [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12684,4168,4540,4158,4165,4161,5009,4157,4159,4171,4170,4167,4160,4163,4162,120918,185,4172,4169,196,4166,4164],"class_list":["post-440407","post","type-post","status-publish","format-standard","hentry","category-technologie","tag-choisir","tag-comment-pirater","tag-conseils","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-entreprise","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pentesting","tag-pour","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/440407","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=440407"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/440407\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=440407"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=440407"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=440407"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}