Vos questions mes réponses
- À quel niveau pouvez-vous garantir la sécurité de mon site ?
- Avez-vous besoin des sources pour effectuer les tests ?
- C'est quoi « la norme PCI DSS (Payment Card Industry Data Security Standard) » ?
- Combien de temps peuvent durer les opérations ?
- Intervenez-vous uniquement en amont et aval des projets ?
- J'aimerais également savoir quel est le tarif d'une telle prestation ?
- Quelles méthodes et techniques utilisez-vous pour valider la sécurité d'un site ?
À quel niveau pouvez-vous garantir la sécurité de mon site ?
Mon travail consiste à tester la sécurité d'une structure web à un moment donné et conseiller sur les solutions à apporter si des vulnérabilités sont découvertes. Personne ne peut garantir votre sécurité à 100% dans la mesure où des paramètres restent hors de maitrise (en particulier des interventions de votre hébergeur, de votre serveur ou des modifications apportées sur le site après l'audit...), toutefois, au moment où se déroule l'audit, les conditions seront réunies pur que votre site profite de tous les moyens existant pour sa mise en sécurité.
Avez-vous besoin des sources pour effectuer les tests ?
Si l'audit de sécurité en mode boîte noire est effectué, non je n'aurai pas besoin des sources.
Cependant j'eviter dans la mesure du possible d'auditerles sites en ligne pour éviter de nuire à votre activité commerciale.
Il est possible d'heberger une copie de votre site sur un serveur privé securi-toile (non connecté a internet) ou un serveur a votre propriété différent de votre site en ligne.
Je peux aussi héberger votre application, le temps de l'audit, sur mes machines virtuelles pour avoir une meilleure réactivité et maitrise de l'audit.
Dans tous les cas, actuellement je n'audite pas le code source.
C'est quoi « la norme PCI DSS (Payment Card Industry Data Security Standard) »?
La norme PCI DSS (Payment Card Industry Data Security Standard) a été élaborée par les sociétés de carte de paiement pour faciliter une large adoption de mesures de sécurité sur le stockage de données.
Il s’agit d’une norme globale qui créée un standard commun pour la sécurité de tous les circuits de paiement impliquant les cartes bancaires. Toute organisation qui émet, conserve, ou traite des données de cartes de paiement est tenue de se conformer à la norme PCI DSS.
Combien de temps peuvent durer les opérations ?
Le temps de l'audit ne peut être déterminé sans avoir vu le site. Je m'engage à ce que la mission soit faite dans les plus brefs délais.
Intervenez-vous uniquement en amont et aval des projets ?
J'interviens en amont et en aval des projets :
En amont j'accompagne le projet, conseille sur la sécurité, préconise les solutions adaptées aux projets et à l'entreprise.
En aval j'interviens plus souvent pour un audit de sécurité boite noire ou test d'intrusion pour contrôler que le site ne présente pas de failles connues sur l'application ou le serveur.
J'explique les différences façons de se prémunir des différentes attaques, par exemple, très à la mode en ce moment, l'injection de scripts malveillants dans les pages index des sites web.
La sécurité se gère dans l'entreprise, chez le prestataire, sur le site et son serveur web.
J'aimerai également savoir quel est le tarif d'une telle prestation ?
Les tarifs sont fixés sur devis exclusivement, car chaque prestation oblige à une stratégie personnalisée dans l'intérêt de votre sécurité. Je ne peux m'engager sur un tarif sans avoir vu le site et sans avoir pu estimer le temps de travail à effectuer ainsi que différents détails de la mission.
Quelles méthodes et techniques utilisez-vous pour valider la sécurité d'un site ?
Il y a 3 possibilités pour tester la sécurité de votre site :
J'utilise les méthodes suivantes EBIOS, MEHARI et Standard PCI-DSS pour les sites e-commerces.
