Secteur d'activité: Transport
Service: Services professionnels
Lieu: Amériques
Type d'organisation: Privée
Employés: 10,001+
Personnel informatique dédié: 25
Besoins et exigences:
Le client, un acteur majeur du secteur du transport et de la logistique, souhaitait réaliser une évaluation indépendante de la sécurité de son application Web afin d’assurer la protection de ses plateformes numériques et des données sensibles de ses clients et partenaires. L’organisation devait s’assurer que ses mécanismes d’authentification, de gestion des mots de passe et d’intégration du Single Sign-On (SSO) respectaient les meilleures pratiques de sécurité et résistaient aux menaces potentielles.
L’objectif principal consistait à identifier les vulnérabilités avant qu’elles ne puissent être exploitées et à valider l’efficacité des mesures correctives mises en œuvre.
Principaux défis:
Menaces cybernétiques en évolution: La plateforme du client gère des données critiques provenant de multiples intervenants, ce qui en fait une cible potentielle pour les cyberattaques. Il était essentiel d’assurer la conformité avec les standards du secteur, notamment le guide OWASP.
Écosystème d’authentification complexe: L’intégration de mécanismes d’authentification centralisés et fédérés, incluant le SSO, nécessitait une série de tests approfondis pour garantir une gestion adéquate des identités et des accès.
Continuité opérationnelle pendant les tests: Les tests de sécurité devaient être menés de manière contrôlée et non intrusive, sans perturber les systèmes en production tout en maintenant une couverture de test complète et fiable.
Solution:
Tests d’intrusion: Hitachi Cyber a réalisé une évaluation de sécurité en mode boîte grise, conformément au Guide de test de sécurité des applications Web OWASP (WSTG).
L’intervention a couvert la reconnaissance, les tests d’authentification, la vérification des rôles, ainsi que la détection de vulnérabilités.
Les activités comprenaient :
- Reconnaissance passive et active afin d’identifier les points d’exposition et les surfaces d’attaque.
- Tests d’authentification et de gestion des mots de passe, vérifiant la complexité, le stockage sécurisé (hachage) et les mécanismes de réinitialisation.
- Tests de contrôle d’accès basé sur les rôles pour les profils administrateur et client.
- Tests de vulnérabilités connues, combinant outils automatisés et validation manuelle.
- Un re-test après correction, pour confirmer la bonne application des mesures correctives.
Résultats:
L’évaluation a permis à l’entreprise de transport d’obtenir une visibilité complète sur la posture de sécurité de son application Web. Plusieurs vulnérabilités ont été identifiées et corrigées, réduisant considérablement le niveau de risque. Les mécanismes d’authentification ont été renforcés, les configurations SSO validées, et la gestion des mots de passe alignée sur les meilleures pratiques du secteur. Les équipes techniques et de sécurité ont gagné en maturité et en autonomie, grâce à une meilleure compréhension des risques et des processus liés à la gestion des identités numériques.
Prochaines étapes:
Le client prévoit de poursuivre sa collaboration avec Hitachi Cyber dans le cadre de tests de pénétration réguliers et d’un programme d’amélioration continue de la sécurité applicative. Les prochaines initiatives incluront la mise en place d’un processus de gestion continue des vulnérabilités, la surveillance proactive et l’intégration du testing de sécurité dans le cycle de développement logiciel, afin de consolider une culture de cybersécurité durable et proactive.
