Audits de sécurité pour Nikon

logo de Nikon

Nikon Europe dispose d’un certain nombre de sites de vente en ligne, un par pays d’activité. Chacun de ces sites, bien que disposant d’une base technologique commune, présente des particularités liées à la langue et aux spécificités du pays ciblé. Ces sites reposent sur une architecture commune plus complexe que l’architecture standard de nombreux sites de vente en ligne (à savoir une architecture directe serveur PHP/base de données MySQL) et sur un moteur de eCommerce renommé, Hybris. Pour garantir la sécurité de ces sites, les équipes de développement de Nikon suivent les recommandations de nombreuses autorités en matière de sécurité, et notamment OWASP. Ceci souligne déjà les excellents efforts déployés par Nikon pour garantir la sécurité de ses sites, et par là-même de ses clients.

Cependant, de nouvelles failles sont documentées chaque mois. Une veille constante est importante. Les failles sont testées sur les plateformes et analysées. Il en résulte un plan d’action qui touche l’infrastructure, le code et les processus de déploiement.

logo AcunetixLe nombre de sites et la répartition géographique sont des facteurs critiques à prendre en considération. En effet, la variété des tests à effectuer représente un investissement de temps significatif. De toute évidence, les équipes développement et infrastructure de Nikon sont mieux utilisées à développer et maintenir des sites de grande qualité, et donc de ROI, plutôt qu’à tester finement chaque faille potentielle. C’est ici qu’ entre en jeu, avec l’aide de l’Acunetix Web Vulnerabilities Scanner… nous allons voir comment.

En premier lieu, définit la stratégie à employer. Dans le cas qui nous intéresse, nous devons nous concentrer sur une dizaine de sites considérés comme critiques. Notre objectif est double: garantir une surveillance régulière de ces sites, en couvrant le spectre le plus large possible, et intervenir ponctuellement, chirurgicalement. Ceci nous permet de réagir rapidement lors de la découverte d’une nouvelle faille visant très spécifiquement une technologie déployée par le client, ou lors du déploiement par le client d’une nouvelle fonctionnalité, d’un nouveau site ou directement d’une nouvelle technologie.

paramètres d'Acunetix WVSEn second lieu, aussitôt que la stratégie définie est validée par le client, nous effectuons des tests poussés afin de déterminer la meilleure paramétrisation d’Acunetix WVS. Nous nous basons notamment sur les technologies déployées (inutile de tester des failles concernant uniquement PHP si le site tourne en ASP), sur les spécificités du déploiement (par exemple les règles de réécriture d’URL, qui doivent être finement définies afin que le scanner puisse visiter le site de manière efficace) ou encore sur certaines particularités locales (par exemple la longueur de certains champs, comme le NPA qui varie selon les pays). En outre, il convient de bien tester la capacité de l’architecture sous-jacente à supporter la montée en charge que représente un tests de grande envergure. En effet, un test effectué avec un scanner va effectuer plusieurs milliers de requêtes par minute sur le serveur web ciblé, ce qui représente la visite simultanée d’un grand nombre d’internautes – c’est d’ailleurs souvent l’occasion de déceler des problèmes de configuration, parfois très sérieux, même lorsqu’on dispose d’un système de répartition de charge.

Enfin, une fois ces tests validés, nous mettons en place la planification des tests dits “réguliers”, qui s’échelonneront sur la période désirée (par exemple un site par nuit, une fois par mois, ou trois sites par jour, chaque semaine). Ces tests fourniront des rapports précis qui seront remis directement au client avec des recommandations. Un suivi dans le temps des failles découvertes et des correctifs appliqués, remis chaque fin de mois, permettra au client d’évaluer à la fois l’évolution des menaces et sa propre capacité à réagir.

En plus de ces tests réguliers, met à disposition du client son service de suivi quotidien des failles potentielles et sa capacité d’analyse ponctuelle. Le suivi des vulnérabilités nous permet d’avertir notre client si une nouvelle faille est découverte qui cible spécifiquement l’un de ses sites. Le client décidera ensuite si nous devons intervenir ou non. Si c’est le cas, nous effectuerons en premier lieu une batterie de tests précis pour évaluer si les sites sont vulnérables à la nouvelle faille. Ces tests seront soit effectués avec Acunetix WVS (le cas le plus fréquent, Acunetix mettant à jour très régulièrement son scanner et les outils dont il dispose), soit manuellement, en utilisant par exemple l’excellent Mantra, qui met à disposition du pentester une série d’outils qui sont peu ou prou les mêmes que ceux utilisés par les cybercriminels. Si des vulnérabilités sont découvertes, le client peut alors apporter les modifications nécessaires, que nous testerons ensuite en suivant la même procédure, afin de confirmer définitivement que la nouvelle faille est bien comblée. Cette dernière sera ensuite à nouveau testée lors des tests réguliers subséquents. exemple de failles découvertes

En résumé, Nikon peut garantir à ses clients un taux de fiabilité et de sécurité maximal – en premier lieu parce que ses équipes de développement et infrastructure font le maximum pour suivre les recommandations les plus récentes en matière de sécurité, et en second lieu parce qu’ est là pour s’assurer que rien n’a été laissé au hasard.

 


RSS Feed

 

2 Comments

  1. Intéressant. A quel point ce genre de tests est-il applicable à des infrastructures logicielles plus simples? Serait-il alors judicieux d'utiliser une machinerie complexe comme Acunetix ou d'autres outils plus simples existent-ils, que vous pourriez proposer aussi? Qu'en est-il du prix d'une telle solution?

  2. Bonjour et merci pour votre intérêt.

    La méthodologie d'audit employée est la même quelles que soient la taille et la complexité du site. Après la phase préliminaire d'évaluation de la surface d'attaque et des technologies, le scanner d'Acunetix fournit le gros oeuvre, sur lequel nous nous basons pour notre analyse. Cette analyse utilise ensuite d'autres outils plus spécifiques (dont notamment l'excellent Mantra), en fonction des scénarios. En soi, entre un petit et un gros site, ce qui fait réellement la différence, c'est tout simplement le temps nécessaire pour effectuer l'audit, qu'il soit ponctuel ou dans le cadre de tests réguliers.

    Quant au prix d'une telle solution, si vous voulez parler de notre tarification, celle-ci s'adapte à la complexité de votre infrastructure, au nombre de sites à auditer, à la fréquence de ces audits, au degré de conseil désiré, etc.. Si vous êtes intéressé par une offre plus concrète, n'hésitez pas à prendre contact avec nous, nous serons très heureux d'en discuter avec vous plus en profondeur.

    Si vous parlez en revanche de la solution Acunetix, je vous invite à consulter directement leur site – si vous avez la moindre question sur leur système de licence, n'hésitez pas à nous contacter également, nous sommes leur revendeur pour la Suisse.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Time limit is exhausted. Please reload CAPTCHA.