Digi International
12 mai 2017
Mon fournisseur effectue-t-il des tests de pénétration ?Les tests de pénétration, également connus sous le nom de "pen testing", recherchent les vulnérabilités qu'un attaquant pourrait exploiter sur un appareil, un réseau ou une application web. Idéalement, les fabricants de dispositifs devraient se soumettre à des tests d'intrusion fréquents (trimestriels) effectués par des contractants externes ET à des tests d'intrusion ad hoc effectués par des clients intéressés.
Quelles certifications de sécurité mon fournisseur possède-t-il ?Vous voulez voir un bureau de sécurité actif et un modèle de sécurité, pas seulement des paroles en l'air. Disposer d'un bureau de sécurité dédié signifie s'assurer que les meilleures pratiques de sécurité sont intégrées au processus de conception technique. Cette approche intègre des directives et des processus acceptés qui prennent en compte la conception et les tests des produits, tels que ceux définis par des organisations tierces comme l'American Society for Quality/ Failure Mode Effects Analysis ; iSixSigma/DFMEA ; ISO9001 SDLC, Penetration Testing Execution Standard et OWASP ; ainsi que des normes émergentes comme l'Online Trust Alliance (OTA).
Comment mon fournisseur génère-t-il/doit-il générer des nombres aléatoires réels et un stockage sécurisé des clés ?Un code secret est seulement aussi bon que le nombre aléatoire sur lequel il est basé. Les ordinateurs étant par nature déterministes, comment peuvent-ils produire un nombre véritablement aléatoire ? Les générateurs de nombres aléatoires matériels (TRNG) utilisent les propriétés aléatoires du monde physique pour créer des nombres véritablement aléatoires basés sur le bruit quantique.
Quand votre fournisseur a-t-il été audité pour la dernière fois, qu'a-t-il trouvé et qu'avez-vous fait ?Votre fournisseur fournit-il des services de mesure et de surveillance des menaces en continu, ainsi que des audits de sécurité internes et externes réguliers ? Des audits réguliers garantissent la mise à jour des correctifs de sécurité et permettent une communication proactive permanente concernant les menaces à venir. Certains cadres de sécurité sectoriels, comme PCI DSS, exigent ces audits réguliers.
Combien cela va-t-il nous coûter ?En règle générale, vous ne devriez payer des frais récurrents que si le fournisseur réalise un investissement récurrent. Par exemple, vous devriez payer une fois pour un excellent pare-feu et vous devriez payer en permanence pour la gestion continue du dispositif. Il est bon d'évaluer le coût total de possession de différents fournisseurs. Le coût total de possession de nos concurrents a tendance à être toujours plus élevé parce qu'ils font payer les services de sécurité, ou pire, ils ne les proposent pas du tout.
Cliquezici pour voir comment intégrer facilement la sécurité des appareils, leur identité et la confidentialité des données avec Digi TrustFence.