HackerOne, plateforme mondiale de sécurité collaborative, annonce aujourd'hui la disponibilité d’une solution de test de pénétration en Europe. Baptisée Hackerone Pentest, cette solution vient compléter l’offre existante de HackerOne, visant à aider les organisations à trouver et corriger les vulnérabilités avant qu'elles ne puissent être exploitées par les cybercriminels. Hackerone Pentest permet aux organisations de répondre plus facilement et rapidement aux exigences de conformité grâce à son approche de sécurité proactive.
D’après Guillaume Vives, chef de produit chez HackerOne, « les tests de pénétration traditionnels sont dépassés. Les délais pratiqués pour recevoir un rapport d’analyse trop dense, listant toutes les vulnérabilités trouvées, pertinentes ou non, ne correspondent pas à la vitesse des cycles de développement actuels. Avec une plateforme intégrée, les clients peuvent voir les progrès réalisés au cours des phases de lancement, de test, de re-test et de correction. Nous sommes ravis d'insuffler une nouvelle vie aux pen tests en fournissant les résultats des tests en temps réel. Le code est sécurisé à mesure qu’il est développé ».
Dans les nouveaux environnements agiles, les plateformes de pen test doivent s'intégrer de manière beaucoup plus fluide à tous les aspects du cycle de développement logiciel. Elles doivent permettre de transmettre directement les conclusions au bon développeur qui va pouvoir corriger les vulnérabilités plus rapidement. Pour répondre à ces besoins, HackerOne Pentest offre :
- un accès à la communauté mondiale de pentesteurs HackerOne, recrutés parmi 750 000 hackers éthiques aux spécialités diverses, pouvant ainsi s’adapter selon les besoins,
- la possibilité de réaliser des pen tests pour la conformité réglementaire et les évaluations clients. Les pen tests de HackerOne fournissent des rapports de conformité clé en main pour répondre aux normes SOC2, HITRUST et ISO 27001, entre autres. Les conclusions sont résumées dans un rapport méthodologique pour aider les équipes de sécurité et d'ingénierie à mieux comprendre comment réduire les risques ;
- une disponibilité pour initier un programme en sept jours seulement et obtenir les résultats dès quatre semaines. Lorsque des vulnérabilités sont découvertes, les clients sont immédiatement avertis avant même la livraison du rapport final ;
- des intégrations telles que Jira, Github, GitLab, Slack, Zendesk, et bien d'autres, permettant aux clients de se raccrocher aux processus et applications déjà utilisés pour garantir une meilleure réactivité des développeurs face aux failles détectées. Les rapports entrants sont exhaustifs afin de permettre des résultats reproductibles, et les re-tests sont inclus. Les hackers utilisent les évaluations de vulnérabilité CVSS standards de l'industrie ;
- une visibilité totale qui permet de contourner les obstacles lors des tests, avec un retour d'information et des mises à jour instantanées pour surveiller l'ensemble du processus. Cette boucle de rétroaction directe avec les testeurs permet d'obtenir des résultats plus fiables et de meilleure qualité ;
- une solution complémentaire aux programmes existants, HackerOne Response, Bounty et Challenge, pour proposer des tests répondant aux exigences de conformité et mettre en œuvre une stratégie de sécurité globale et offensive.