{"id":577993,"date":"2023-01-27T00:18:55","date_gmt":"2023-01-27T02:18:55","guid":{"rendered":"https:\/\/teknomers.com\/fr\/est-ce-quun-test-de-stylo-une-fois-par-an-est-suffisant-pour-votre-organisation\/"},"modified":"2023-01-27T00:18:56","modified_gmt":"2023-01-27T02:18:56","slug":"est-ce-quun-test-de-stylo-une-fois-par-an-est-suffisant-pour-votre-organisation","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/est-ce-quun-test-de-stylo-une-fois-par-an-est-suffisant-pour-votre-organisation\/","title":{"rendered":"Est-ce qu&#8217;un test de stylo une fois par an est suffisant pour votre organisation\u00a0?"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Toute organisation qui g\u00e8re des donn\u00e9es sensibles doit faire preuve de diligence dans ses efforts de s\u00e9curit\u00e9, ce qui inclut des tests d&#8217;intrusion r\u00e9guliers.  M\u00eame une petite violation de donn\u00e9es peut entra\u00eener des dommages importants pour la r\u00e9putation et les r\u00e9sultats d&#8217;une organisation.<\/p>\n<p>Il existe deux raisons principales pour lesquelles des tests d&#8217;intrusion r\u00e9guliers sont n\u00e9cessaires pour le d\u00e9veloppement d&#8217;applications Web s\u00e9curis\u00e9es\u00a0:<\/p>\n<ul>\n<li><strong>S\u00e9curit\u00e9:<\/strong> Les applications Web \u00e9voluent constamment et de nouvelles vuln\u00e9rabilit\u00e9s sont d\u00e9couvertes en permanence.  Les tests d&#8217;intrusion aident \u00e0 identifier les vuln\u00e9rabilit\u00e9s qui pourraient \u00eatre exploit\u00e9es par des pirates et vous permettent de les corriger avant qu&#8217;elles ne causent des dommages.<\/li>\n<li><strong>Conformit\u00e9: <\/strong>Selon votre secteur d&#8217;activit\u00e9 et le type de donn\u00e9es que vous traitez, vous devrez peut-\u00eatre vous conformer \u00e0 certaines normes de s\u00e9curit\u00e9 (par exemple, PCI DSS, NIST, HIPAA).  Des tests d&#8217;intrusion r\u00e9guliers peuvent vous aider \u00e0 v\u00e9rifier que vos applications Web respectent ces normes et \u00e0 \u00e9viter les sanctions en cas de non-conformit\u00e9.<\/li>\n<\/ul>\n<h2 style=\"text-align: left;\">\u00c0 quelle fr\u00e9quence devez-vous pentester\u00a0?<\/h2>\n<p>De nombreuses organisations, grandes et petites, <a rel=\"nofollow noopener\" href=\"https:\/\/www.helpnetsecurity.com\/2021\/04\/29\/penetration-testing-blind-spots\/\" target=\"_blank\">avoir un cycle de test de stylo une fois par an<\/a>.  Mais quelle est la meilleure fr\u00e9quence pour les tests d&#8217;intrusion\u00a0?  Une fois par an suffit-il ou faut-il \u00eatre plus fr\u00e9quent ?<\/p>\n<p>La r\u00e9ponse d\u00e9pend de plusieurs facteurs, notamment du type de cycle de d\u00e9veloppement dont vous disposez, de la criticit\u00e9 de vos applications Web et du secteur dans lequel vous \u00e9voluez.<\/p>\n<p><strong>Vous devrez peut-\u00eatre effectuer des tests de p\u00e9n\u00e9tration plus fr\u00e9quents si\u00a0:<\/strong><\/p>\n<h3 style=\"text-align: left;\">Vous avez un cycle de publication agile ou continu<\/h3>\n<p>Les cycles de d\u00e9veloppement agiles se caract\u00e9risent par des cycles de publication courts et des it\u00e9rations rapides.  Cela peut rendre difficile le suivi des modifications apport\u00e9es \u00e0 la base de code et augmente la probabilit\u00e9 que des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 soient introduites.<\/p>\n<p>Si vous ne testez qu&#8217;une fois par an, il y a de fortes chances que les vuln\u00e9rabilit\u00e9s ne soient pas d\u00e9tect\u00e9es pendant de longues p\u00e9riodes.  Cela pourrait laisser votre organisation vuln\u00e9rable aux attaques.<\/p>\n<p>Pour att\u00e9nuer ce risque, les cycles de test d&#8217;intrusion doivent s&#8217;aligner sur le cycle de d\u00e9veloppement de l&#8217;organisation.  Pour les applications Web statiques, des tests tous les 4 \u00e0 6 mois devraient suffire.  Mais pour les applications Web qui sont mises \u00e0 jour fr\u00e9quemment, vous devrez peut-\u00eatre tester plus souvent, par exemple une fois par mois ou m\u00eame une fois par semaine.<\/p>\n<h3 style=\"text-align: left;\">Vos applications Web sont critiques pour l&#8217;entreprise<\/h3>\n<p>Tout syst\u00e8me essentiel aux op\u00e9rations de votre organisation doit faire l&#8217;objet d&#8217;une attention particuli\u00e8re en mati\u00e8re de s\u00e9curit\u00e9.  En effet, une violation de ces syst\u00e8mes pourrait avoir un impact d\u00e9vastateur sur votre entreprise.  Si votre organisation d\u00e9pend fortement de ses applications Web pour faire des affaires, tout temps d&#8217;arr\u00eat pourrait entra\u00eener des pertes financi\u00e8res importantes.<\/p>\n<p>Par exemple, imaginons que le site de commerce \u00e9lectronique de votre organisation tombe en panne pendant une heure en raison d&#8217;une attaque DDoS.  Non seulement vous perdriez des ventes potentielles, mais vous devriez \u00e9galement faire face au co\u00fbt de l&#8217;attaque et \u00e0 la publicit\u00e9 n\u00e9gative.<\/p>\n<p>Pour \u00e9viter ce sc\u00e9nario, il est important de s&#8217;assurer que vos applications Web sont toujours disponibles et s\u00e9curis\u00e9es.<\/p>\n<p>Les applications Web non critiques peuvent g\u00e9n\u00e9ralement \u00eatre test\u00e9es une fois par an, mais les applications Web critiques pour l&#8217;entreprise doivent \u00eatre test\u00e9es plus fr\u00e9quemment pour s&#8217;assurer qu&#8217;elles ne risquent pas une panne majeure ou une perte de donn\u00e9es.<\/p>\n<h3 style=\"text-align: left;\">Vos applications Web sont orient\u00e9es client<\/h3>\n<p>Si toutes vos applications Web sont internes, vous pourrez peut-\u00eatre vous en sortir moins fr\u00e9quemment avec des tests d&#8217;intrusion.  Cependant, si vos applications Web sont accessibles au public, vous devez faire preuve de plus de diligence dans vos efforts de s\u00e9curit\u00e9. <\/p>\n<p>Les applications Web accessibles au trafic externe sont plus susceptibles d&#8217;\u00eatre cibl\u00e9es par des attaquants.  En effet, il existe un plus grand nombre de vecteurs d&#8217;attaque et davantage de points d&#8217;entr\u00e9e potentiels \u00e0 exploiter pour un attaquant.<\/p>\n<p>Les applications Web destin\u00e9es aux clients ont \u00e9galement tendance \u00e0 avoir plus d&#8217;utilisateurs, ce qui signifie que toute vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 sera exploit\u00e9e plus rapidement.  Par exemple, une vuln\u00e9rabilit\u00e9 de script intersite (XSS) dans une application Web externe comptant des millions d&#8217;utilisateurs pourrait \u00eatre exploit\u00e9e quelques heures apr\u00e8s avoir \u00e9t\u00e9 d\u00e9couverte.<\/p>\n<p>Pour se prot\u00e9ger contre ces menaces, il est important de tester plus fr\u00e9quemment les applications Web destin\u00e9es aux clients que les applications internes.  Selon la taille et la complexit\u00e9 de l&#8217;application, vous devrez peut-\u00eatre effectuer un test d&#8217;intrusion tous les mois, voire toutes les semaines.<\/p>\n<h3 style=\"text-align: left;\">Vous \u00eates dans une industrie \u00e0 haut risque<\/h3>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.statista.com\/statistics\/221293\/cyber-crime-target-industries\/\" target=\"_blank\">Certaines industries sont plus susceptibles d&#8217;\u00eatre cibl\u00e9es<\/a> par des pirates en raison de la nature sensible de leurs donn\u00e9es.  Les organisations de sant\u00e9, par exemple, sont souvent cibl\u00e9es en raison des informations de sant\u00e9 prot\u00e9g\u00e9es (PHI) qu&#8217;elles d\u00e9tiennent.<\/p>\n<p>Si votre organisation se trouve dans un secteur \u00e0 haut risque, vous devriez envisager d&#8217;effectuer des tests d&#8217;intrusion plus fr\u00e9quemment pour vous assurer que vos syst\u00e8mes sont s\u00e9curis\u00e9s et conformes \u00e0 la r\u00e9glementation.  Cela vous aidera \u00e0 prot\u00e9ger vos donn\u00e9es et \u00e0 r\u00e9duire les risques d&#8217;incident de s\u00e9curit\u00e9 co\u00fbteux.<\/p>\n<h3 style=\"text-align: left;\">Vous n&#8217;avez pas d&#8217;op\u00e9rations de s\u00e9curit\u00e9 interne ou d&#8217;\u00e9quipe de test d&#8217;intrusion<\/h3>\n<p>Cela peut sembler contre-intuitif, mais si vous n&#8217;avez pas d&#8217;\u00e9quipe de s\u00e9curit\u00e9 interne, vous devrez peut-\u00eatre effectuer des tests d&#8217;intrusion plus fr\u00e9quemment. <\/p>\n<p>Les organisations qui ne disposent pas de personnel de s\u00e9curit\u00e9 d\u00e9di\u00e9 sont plus susceptibles d&#8217;\u00eatre vuln\u00e9rables aux attaques.<\/p>\n<p>Sans \u00e9quipe de s\u00e9curit\u00e9 interne, vous devrez vous fier \u00e0 des testeurs de stylo externes pour \u00e9valuer la posture de s\u00e9curit\u00e9 de votre organisation.<\/p>\n<p>Selon la taille et la complexit\u00e9 de votre organisation, vous devrez peut-\u00eatre effectuer un test d&#8217;intrusion tous les mois, voire toutes les semaines.<\/p>\n<h3 style=\"text-align: left;\">Vous vous concentrez sur les fusions ou acquisitions<\/h3>\n<p>Lors d&#8217;une fusion ou d&#8217;une acquisition, il y a souvent beaucoup de confusion et de chaos.  Cela peut rendre difficile le suivi de tous les syst\u00e8mes et donn\u00e9es qui doivent \u00eatre s\u00e9curis\u00e9s.  Par cons\u00e9quent, il est important d&#8217;effectuer des tests d&#8217;intrusion plus fr\u00e9quemment pendant ces p\u00e9riodes pour s&#8217;assurer que tous les syst\u00e8mes sont s\u00e9curis\u00e9s.<\/p>\n<p>Les fusions et acquisitions signifient \u00e9galement que vous ajoutez de nouvelles applications Web \u00e0 l&#8217;infrastructure de votre organisation.  Ces nouvelles applications peuvent pr\u00e9senter des failles de s\u00e9curit\u00e9 inconnues susceptibles de mettre en danger l&#8217;ensemble de votre organisation.<\/p>\n<p>En 2016, Marriott a acquis Starwood sans savoir que des pirates avaient exploit\u00e9 une faille dans le syst\u00e8me de r\u00e9servation de Starwood deux ans plus t\u00f4t.  Plus de 500 millions de dossiers clients ont \u00e9t\u00e9 compromis.  Cela a plac\u00e9 Marriott dans l&#8217;eau chaude<a rel=\"nofollow noopener\" href=\"https:\/\/www.reuters.com\/article\/us-marriott-intnl-ico-idUSKBN27F1LH\" target=\"_blank\"> avec le chien de garde britannique ICO<\/a>, entra\u00eenant des amendes de 18,4 millions de livres au Royaume-Uni.  Selon Bloomberg, il y a plus de probl\u00e8mes \u00e0 venir, car le g\u00e9ant h\u00f4telier pourrait &#8220;faire face \u00e0 jusqu&#8217;\u00e0 1 milliard de dollars d&#8217;amendes r\u00e9glementaires et de frais de justice&#8221;.<\/p>\n<p>Pour se prot\u00e9ger contre ces menaces, il est important d&#8217;effectuer des tests d&#8217;intrusion avant et apr\u00e8s une acquisition.  Cela vous aidera \u00e0 identifier les probl\u00e8mes de s\u00e9curit\u00e9 potentiels afin qu&#8217;ils puissent \u00eatre r\u00e9solus avant la fin de la transition.<\/p>\n<h2 style=\"text-align: left;\">L&#8217;importance des tests de stylo continus<\/h2>\n<p>Bien que les tests d&#8217;intrusion p\u00e9riodiques soient importants, ils ne suffisent plus dans le monde d&#8217;aujourd&#8217;hui.  Alors que les entreprises s&#8217;appuient davantage sur leurs applications Web, les tests d&#8217;intrusion en continu deviennent de plus en plus importants.<\/p>\n<p><strong>Il existe deux principaux types de test d&#8217;intrusion : limit\u00e9 dans le temps et continu.<\/strong><\/p>\n<p>Les tests d&#8217;intrusion traditionnels sont effectu\u00e9s selon un calendrier d\u00e9fini, par exemple une fois par an.  Ce type de test d&#8217;intrusion ne suffit plus dans le monde d&#8217;aujourd&#8217;hui, car les entreprises s&#8217;appuient davantage sur leurs applications Web.<\/p>\n<p>Le test d&#8217;intrusion continu est le processus d&#8217;analyse continue de vos syst\u00e8mes \u00e0 la recherche de vuln\u00e9rabilit\u00e9s.  Cela vous permet d&#8217;identifier et de corriger les vuln\u00e9rabilit\u00e9s avant qu&#8217;elles ne puissent \u00eatre exploit\u00e9es par des attaquants.  Les tests d&#8217;intrusion continus vous permettent de trouver et de r\u00e9soudre les probl\u00e8mes de s\u00e9curit\u00e9 <em>comme ils arrivent<\/em> au lieu d&#8217;attendre une \u00e9valuation p\u00e9riodique.<\/p>\n<p>Les tests d&#8217;intrusion continus sont particuli\u00e8rement importants pour les organisations qui ont un cycle de d\u00e9veloppement agile.  \u00c9tant donn\u00e9 que le nouveau code est d\u00e9ploy\u00e9 fr\u00e9quemment, il y a plus de chances que des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 soient introduites.<\/p>\n<p>Les tests de stylet en tant que mod\u00e8les de service sont l\u00e0 o\u00f9 brillent les tests de stylet continus.  Outpost24&#8217;s <a rel=\"nofollow noopener\" href=\"https:\/\/outpost24.com\/products\/web-application-security\/pentest-as-a-service?utm_campaign=na_thehackernews&amp;utm_source=thehackernews&amp;utm_medium=referral&amp;utm_term=sponsored&amp;utm_content=article\" target=\"_blank\">Plateforme PTaaS (Penetration-Testing-as-a-Service) <\/a>permet aux entreprises d&#8217;effectuer facilement des tests de p\u00e9n\u00e9tration continus.  La plate-forme Outpost24 est toujours \u00e0 jour avec les derni\u00e8res menaces et vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 d&#8217;une organisation, vous pouvez donc \u00eatre s\u00fbr que vos applications Web sont s\u00e9curis\u00e9es.<\/p>\n<ul>\n<li><strong>Pen test manuel et automatis\u00e9 :<\/strong> La plate-forme PTaaS d&#8217;Outpost24 combine des tests de stylet manuels et automatis\u00e9s pour vous offrir le meilleur des deux mondes.  Cela signifie que vous pouvez trouver et corriger les vuln\u00e9rabilit\u00e9s plus rapidement tout en b\u00e9n\u00e9ficiant des analyses d&#8217;experts.<\/li>\n<li><strong>Fournit une couverture compl\u00e8te\u00a0: <\/strong>La plate-forme d&#8217;Outpost24 couvre toutes les vuln\u00e9rabilit\u00e9s du Top 10 OWASP et plus encore.  Cela signifie que vous pouvez \u00eatre s\u00fbr que vos applications Web sont s\u00e9curis\u00e9es contre les derni\u00e8res menaces.<\/li>\n<li><strong>Est rentable<\/strong>: Avec Outpost24, vous ne payez que les services dont vous avez besoin.  Cela rend plus abordable la r\u00e9alisation de tests de p\u00e9n\u00e9tration continus, m\u00eame pour les petites entreprises.<\/li>\n<\/ul>\n<h2 style=\"text-align: left;\">L&#8217;essentiel<\/h2>\n<p>Des tests d&#8217;intrusion r\u00e9guliers sont essentiels pour le d\u00e9veloppement d&#8217;applications Web s\u00e9curis\u00e9es.  En fonction de la taille, de l&#8217;industrie et du cycle de d\u00e9veloppement de votre organisation, vous devrez peut-\u00eatre revoir votre programme de tests d&#8217;intrusion.<\/p>\n<p>Un cycle de test d&#8217;intrusion une fois par an peut suffire pour certaines organisations, mais pour la plupart, ce n&#8217;est pas le cas.  Pour les applications Web critiques, destin\u00e9es aux clients ou \u00e0 fort trafic, vous devriez envisager des tests d&#8217;intrusion continus.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/outpost24.com\/products\/web-application-security\/pentest-as-a-service?utm_campaign=na_thehackernews&amp;utm_source=thehackernews&amp;utm_medium=referral&amp;utm_term=sponsored&amp;utm_content=article\" target=\"_blank\">Plateforme PTaaS d&#8217;Outpost24<\/a> rend facile et rentable la r\u00e9alisation de tests au stylo en continu.  Contactez-nous d\u00e8s aujourd&#8217;hui pour en savoir plus sur notre plateforme et comment nous pouvons vous aider \u00e0 s\u00e9curiser vos applications Web.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/is-once-yearly-pen-testing-enough-for.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Toute organisation qui g\u00e8re des donn\u00e9es sensibles doit faire preuve de diligence dans ses efforts de s\u00e9curit\u00e9, ce qui inclut des tests d&#8217;intrusion r\u00e9guliers. M\u00eame une petite violation de donn\u00e9es peut entra\u00eener des dommages importants pour la r\u00e9putation et les r\u00e9sultats d&#8217;une organisation. Il existe deux raisons principales pour lesquelles des tests d&#8217;intrusion r\u00e9guliers sont [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":577994,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,4158,4165,4161,40,4689,982,4157,4159,4171,4170,4167,4160,4163,4162,1286,164,185,2828,4172,4169,42651,34759,1058,196,4166,877,4164],"class_list":["post-577993","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-est","tag-estce","tag-fois","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-organisation","tag-par","tag-pour","tag-quun","tag-securite-informatique","tag-securite-internet","tag-stylo","tag-suffisant","tag-test","tag-une","tag-violation-de-donnees","tag-votre","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/577993","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=577993"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/577993\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/577994"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=577993"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=577993"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=577993"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}