Qu'est-ce que la vérification de la sécurité du site?

Les certifications de sécurité sont généralement basées sur les résultats d'un test d'intrusion, ce qui indique à quel point il est difficile pour les pirates éthiques de passer outre les contrôles de sécurité. Lorsque ces tests sont effectués par des professionnels expérimentés, cela peut être très utile.

Toutefois

• Tout test de sécurité constitue un point dans le temps: un nouvel exploit de 0 jour pourrait être publié le lendemain de l’attaque et si le site est vulnérable, la certification de sécurité est inutilisable.

• Pour les organisations qui gèrent des données de carte de crédit, PCI-DSS est censé attester que vous protégez vos données de manière appropriée, quelles que soient les insuffisances. démontrés dans les médias par des attaques célèbres contre des organisations conformes à la norme PCI (par exemple Worldpay en 2009). Beaucoup de bonnes activités décrites dans PCI que vous devriez regarder.

Donc, si vous êtes inquiet pour votre site, les bonnes pratiques en matière de sécurité incluent généralement:

• Évaluation des risques de vos actifs
• Corrigez vos plateformes et votre code !!!
• Former vos développeurs au codage sécurisé - les certifier est utile (voir cette initiative SANS)
• Regardez le OWASP parmi les dix premiers pour connaître les attaques les plus courantes et savoir quoi faire à ce sujet.
• Comprendre les plates-formes que vous utilisez et surveiller les avis de sécurité pour ces plates-formes
• Tests d'intrusion réguliers - chaque année, à chaque mise à jour majeure, sur les modifications apportées à votre profil de risque ou à votre paysage de menaces
• Une approche de défense en profondeur, donc si une couche de sécurité particulière échoue, vous la repérerez avant que vous ne soyez compromis.