Cas client cybersécurité
Test d’intrusion application web solution SaaS

Fiche d’identité du client

Secteur d’activité

Solutions SaaS – Cartes de visite connectées

---

Problématique

Renforcer la sécurité d’une solution SaaS en réponse aux exigences de clients grands comptes

---

Cible

Grands comptes, TPEs, PMEs

---

Taille

1 collaborateur interne avec de nombreux partenaires externes.

---

Objectifs

• Identifier les vulnérabilités de l’application
• Renforcer la robustesse de la solution.
• S’inscrire dans un processus d’amélioration continue.
• Rassurer les prospects et partenaires commerciaux.

---

Spécificités

• Hébergement de données personnelles (coordonnées des collaborateurs des entreprises clientes)
• Conformité aux réglementations en matière de protection des données
• Audit demandé par un grand compte pour valider un déploiement national

---

Contexte

Torii Security est intervenu pour accompagner une startup éditrice d’une application SaaS.

Avant l’intervention de Torii Security, la société était déjà engagée dans une démarche de sécurisation.

Elle était notamment suivie sur les aspects RGPD et cybersécurité par un prestataire externe. Son site web était développé sous WordPress avec des configurations de sécurité de base.

Le respect et la protection des données personnelles est un enjeu majeur, la solution hébergeant les coordonnées de tous les collaborateurs équipés.
| Romain, Co-fondateur.

Face aux attentes des clients grands comptes, un test d’intrusion application web était nécessaire pour renforcer la confiance et prouver la sécurité de la solution.

Enjeux

Sous l’impulsion de son donneur d’ordre, notre client a formulé deux demandes claires :

• répondre aux exigences de sécurité pour ce client et les suivants
• s’inscrire dans une démarche long terme tout en tenant compte de sa spécificité de startup

En effet, en raison de sa taille, la conquête de clients grands comptes est un enjeu majeur qui justifie l’investissement cybersécurité.

Mais la réalité des startups impose de prendre en compte les cycles de déploiement et les nombreuses évolutions du produit.

Face à la nécessité de garantir la protection des données et de renforcer la crédibilité de la solution, plusieurs objectifs ont été définis pour ce test d’intrusion application web :

• Identifier les vulnérabilités potentielles dans l’application SaaS
• Renforcer la sécurité de la plateforme et de ses infrastructures
• Démontrer un processus d’amélioration continue auprès des clients et prospects
• Apporter des garanties sur la conformité et la gestion des risques liés aux données personnelles

Les principaux risques identifiés avant l’audit incluaient :

• Fuite de données pouvant compromettre la confidentialité des informations utilisateurs (voir les nouvelles obligations de notification des vulnérabilités pour les éditeurs de logiciels et SaaS)
• Risque d’espionnage par des concurrents ou des acteurs malveillants
• Impact réputationnel en cas de compromission de la plateforme

L’objectif est de montrer la robustesse de la solution mais également de détecter les failles qui pourraient avoir échappé à notre équipe de développement afin de montrer la mise en place d’un processus d’amélioration continu de la solution dans des délais raisonnables en fonction du degré critique de la faille découverte.
| Romain, Co-fondateur.

Solution apportée à la startup

Notre réponse :

Solution retenue

Nous avons répondu à ces problématiques avec notre offre Cyber 4 Startup.

Cette offre de service, dédiée aux startups éditrices d’applications, propose la mise à disposition d’un pentester dans une démarche d’amélioration continue à long terme.

Elle inclut :

• Un test d’intrusion initial
• Le conseil expert
• La gestion des vulnérabilités et les retests jusqu’à correction
• Une réserve de jours pour les futures releases

Gestion des vulnérabilités

Dans l’optique d’augmenter la valeur perçue et le ROSI de notre cliente, nous avons mis à disposition une plateforme web de gestion des vulnérabilités et de test d’intrusion.

Objectifs : simplifier, fluidifier, collaborer

• Simplifier la remontée des vulnérabilités et le rapport dans un portail pour un accès « en temps réel ».

• Moins de temps perdu en formalités et mise en forme, plus de temps passé sur l’amélioration de la sécurité.

• Fluidifier la communication grâce au chat inclus, pour échanger sur les remédiations proposées et planifier les retests..

• Collaborer dans le temps pour améliorer la cybersécurité grâce à un pentester qui connaît et suit l’application, et des échanges sur le long terme.

Cela – le test d’intrusion – m’a permis d’identifier des failles qui auraient pu avoir des incidences sur certains développement ultérieurs. Celles-ci seront donc systématiquement corrigées lors de ces développements.

Romain, co-fondateur

Résultats

Rapports d’audit

La phase d’audit initiale, combinée à l’approche PTaaS, ont permis de fournir rapidement au donneur d’ordre une réponse sur le niveau de sécurité de la société et de son application.

Le suivi et le contact ont permis la correction rapide des vulnérabilités par le client.

Et le portail a permis d’automatiser la génération du rapport, rendant notre client autonome.

L’action long terme

L’action long terme (qui se poursuit encore), a soutenu le client dans sa démarche d’amélioration continue en adoptant un rythme de test en accord avec ses objectifs métiers.

En bref

• La startup a sécurisé son application
• L’investissement long terme améliore la valeur perçue de la société
• L’accompagnement expert a permis une meilleure réponse aux interrogations cybersécurité du grand compte
• Rythme de développement élévé ne rime plus avec manque de cybersécurité