Après l'annonce récente de nos nouveaux services de tests de pénétration, nous avons discuté avec Harlan Beverly, vice-président des technologies de PTW, pour en savoir plus sur les meilleures pratiques en matière de sécurité informatique. « Les tests de pénétration effectués par une entreprise extérieure comme PTW permettent de s'assurer que toutes les mesures ont été prises pour assurer la sécurité des clients, du personnel employé et des actionnaires », déclare-t-il. Les récents problèmes rencontrés par SolarWinds Corp. et Tim Brown, son RSSI, en sont la preuve.

SolarWinds est une plateforme d'observabilité informatique. Elle a été accusée de fraude et de manquements internes par l'organisme américain Securities and Exchange Commission (SEC, ou Commission des échanges et des sécurités), qui a estimé que la société avait délibérément fait de fausses déclarations sur la sécurité de ses pratiques. D'octobre 2018 à décembre 2020, SolarWinds a été victime d'une cyberattaque massive appelée « SUNBURST ». Cette attaque a permis à des cybercriminels d'accéder à l'infrastructure de SolarWinds, utilisée par des clients du monde entier ainsi que par le gouvernement fédéral américain.

(Source: DarkReading.com)

L'impact de l'incapacité de SolarWinds à sécuriser ses applications est encore ressenti par l'entreprise, ainsi que ses actionnaires, ses clients et son personnel. « L'impact d'une telle perte de données, récupération et perte de réputation ne peut être sous-estimé, explique M. Harlan. Pourquoi une entreprise ne voudrait-elle pas s'assurer que les pirates informatiques ne peuvent pas s'infiltrer dans ses systèmes ? C'est exactement le but des tests de pénétration. Des informaticien·ne·s employé·e·s utilisent les mêmes compétences que les pirates pour tenter de pénétrer dans les systèmes, afin de repérer les vulnérabilités existantes et de les corriger avant que les pirates ne les trouvent et ne les exploitent. »

Par ailleurs, l'importance de la cybersécurité et des tests de pénétration pour les jeux vidéo et autres applications (en particulier celles qui utilisent ou exploitent l'intelligence artificielle) s'est également intensifiée (Source : CNBC). « Le gouvernement américain a récemment demandé la création d'un nouvel ensemble de lignes directrices visant à garantir la sécurité des systèmes d'IA, explique M. Harlan. Plus précisément, le programme prévoit que les entreprises partagent les résultats de leurs tests de sécurité et évaluent différentes techniques de protection de la vie privée. Ces nouvelles lignes directrices signifient que les tests de pénétration constituent une étape essentielle pour garantir le bon fonctionnement de ces techniques de sécurité et de protection de la vie privée, et que ces pratiques vont continuer à gagner de l'importance. »

« Notre nouveau service NinjaScan a pour but de rendre les tests de pénétration plus rapides et moins chers, poursuit M. Harlan. Nous y parvenons grâce à notre cycle de travail de 24 heures. Nous gagnons un temps précieux en répartissant ce travail à l'échelle mondiale et en effectuant les tests de pénétration à l'aide d'outils et de scripts spéciaux, mis au point pour rendre le processus plus efficace ».

Comme la SEC et les nouveaux organismes du gouvernement américain s'intéressent à l'importance des tests de sécurité, la nécessité d'effectuer des tests de pénétration par une entreprise partenaire certifiée OSCP est plus importante que jamais.