De plus en plus d’entreprises ont recours à des experts en sécurité extérieurs pour tester et éprouver leur SI en termes de sécurité. Il existe cependant beaucoup d’offres sur le marché et les responsables de la cybersécurité ont besoin d’un outil capable de gérer l’ensemble de ces programmes. En réponse à cette demande, la société Hackrate, spécialisée dans le pen testing et la gestion des bug bounty, a annoncé le lancement de Hackgate, une plateforme de monitoring de ces projets. « Disponible dès maintenant en tant que service autonome, la plateforme vise à aider les entreprises à mieux gérer et superviser les initiatives de tests de sécurité et de pénétration, en offrant un meilleur contrôle du projet et une meilleure cybersécurité », a déclaré l’entreprise dans un blog.
Le bug bounty et le pen testing peuvent s’avérer très utiles pour découvrir les vulnérabilités des systèmes et les sources potentielles de violations de données en contournant ou en craquant les protections de sécurité d'une manière sûre et contrôlée. Cependant, la surveillance efficace des initiatives de hacking éthique et une garantie sur la clarté des résultats des tests peuvent représenter un défi important pour de nombreuses entreprises, un autre problème étant celui de la transparence.
Intégration au SIEM et authentification forte des testeurs
« Hackgate utilise des « technologies avancées » et s'intègre à un SIEM (Security information and event management, SIEM) pour garantir une analyse totale du projet », affirme le fournisseur. « La plateforme est notamment capable d'identifier les types d'attaques, d'enregistrer les données de sécurité et de générer des rapports individuels de tests d'intrusion au format PDF cliquable », ajoute-t-il. « La solution sépare également les activités des testeurs de celle des attaquants réels en appliquant des méthodes d'authentification fortes avant d'accorder aux pirates éthiques l'accès au système informatique », a écrit par ailleurs Balázs Pózner, CEO et cofondateur de Hackrate, dans un blog.
« L'accès à un serveur web n'est possible qu'à partir des adresses IP de Hackgate, ce qui garantit que seuls les testeurs autorisés peuvent entrer, réduisant ainsi au minimum le risque d'accès non autorisé. L'outil enregistre aussi toutes les activités au cours du projet, ce qui permet aux entreprises de suivre et d'isoler tout intrus non autorisé. Cette séparation claire entre les testeurs et les attaques réelles renforce la sécurité globale de l’entreprise », a encore le dirigeant.