Certification Hacker Secured

"Le certificat qui protège l’utilisateur contre le vol de données à caractère personnel et la fraude lors de l’utilisation de cartes de crédit."

La sécurité de l’infrastructure des sites Web est une question particulièrement sensible, à laquelle on ne peut rester indifférent, notamment parce que parfois, les vulnérabilités peuvent être introduites par inadvertance par les administrateurs lors de la mise en œuvre de changements dans les politiques de pare-feu, créant des vulnérabilités pour les pirates, les vers ou les chevaux de Troie. La seule solution est de surveiller le réseau de manière proactive afin de connaître les menaces et de mettre en œuvre les mesures nécessaires avant que les attaquants ne s’en servent.

Au-delà de cet aspect, c'est également important de transmettre à l’utilisateur final qui peut naviguer sur le site en toute sécurité. C’est en pensant à ces aspects que Marketware a publié le certificat numérique Hacker Secured. Celui-ci a été conçu et conçu non seulement dans le but de fournir des mécanismes permettant aux gestionnaires de réseau de surveiller de manière proactive et préventive l’ensemble de leur réseau, mais aussi de donner confiance et assurance aux utilisateurs, qui sont protégées contre le vol de données à caractère personnel et la fraude lors de l’utilisation de cartes de crédit.

Ainsi, Hacker-Secured validera par des audits quotidiens, hebdomadaires ou mensuels des sites afin de réussir les tests de sécurité du FBI/SANS. Lorsque le site respecte les exigences minimales imposées par les meilleures pratiques de sécurité, le certificat Hacker-Secured sera attribué. Face à cette situation, l’utilisateur aura la garantie que, dans 99% des cas, il n’y aura pas d’intrusion.

Description des auditsLes audits quotidiens seront effectués en trois étapes : balayage des ports vulnérables, tests de pénétration du réseau, test de l’analyse complète des applications web. Grâce à cet audit, la surveillance de la sécurité des systèmes peut être mise en œuvre de manière continue et proactive, ce qui réduit considérablement le temps de recherche et le temps de découverte des vulnérabilités existantes. Cette situation a contribué à une résolution plus rapide des problèmes en cas de survenance de tels problèmes et à la mise à la disposition de l’utilisateur final du facteur de confiance.

Phase 1 - Scan de détection des ports vulnérables

La première phase consiste en la réalisation d’un scan visant à l’analyse globale du réseau afin de détecter les ports TCP et UDP qui sont ouverts et susceptibles d’attaques.

Phase 2 - Essais de pénétration de réseau

Dans un deuxième temps, tous les ports ouverts seront analysés pour déterminer exactement les services en cours, y compris le type et la version spécifique. Il s’agit d’analyser en détail toutes les vulnérabilités de tous les services, tels que le DNS, le SMTP, le SSH, le FTP, le HTTP et le SNMP, en utilisant des méthodes de signature ou d’évaluation de la réponse. Des techniques de détection d’intrusion et de pénétration de pare-feu seront également utilisées pour garantir une analyse très précise.

Phase 3 - Test d’analyse complète des applications Web

Cette troisième phase vise à analyser le niveau des applications web.

Selon Gartner, 70% des failles de sécurité surviennent à ce niveau. Ici, tous les services HTTP et les domaines seront testés pour identifier les modules potentiellement dangereux, les paramètres de configuration, les CGI et autres scripts. Le site sera parcouru afin de trouver des formulaires qui sont utilisés pour identifier les vulnérabilités, tels que la révélation de code et de cross-site scripting. Des analyses de logiciels génériques et spécifiques seront effectuées pour détecter les vulnérabilités de configuration liées à des erreurs dans le code.