Skip to main content

Êtes-vous absolument certain que vos assets critiques sont suffisamment testés ? Pouvez-vous le prouver ?

Le problème : les tests de sécurité reposent sur la confiance plutôt que sur la preuve.

Trop souvent, les organisations investissent dans des tests de pénétration et des programmes de Bug Bounty sans disposer ni de preuves tangibles de l’effort de test ni de levier d’ajustements précis.

Ce modèle obsolète s’avère particulièrement critique dans un environnement DevOps, où de nouvelles fonctionnalités sont régulièrement mises en production. Sans une couverture exhaustive et des preuves de tests approfondis, de nouvelles vulnérabilités peuvent être introduites, exposant l’entreprise à des risques financiers et de réputation majeurs. Face à la croissance permanente des surfaces d’attaque, il devient impératif d’adopter une approche différente.

Yogosha change la donne avec l’Activity Monitoring ;  la seule plateforme qui transforme la confiance en certitude grâce à la donnée. Vous pouvez désormais garantir que l’intégralité de vos assets est testée en continu et en profondeur, et piloter précisément la performance de vos programmes de sécurité.

Il est temps de passer d’un modèle basé sur la confiance à un modèle basé sur la preuve.

La solution: la collecte du trafic via le VPN 

Nous collectons le trafic des chercheurs lorsqu’ils passent par le VPN Yogosha. Notre algorithme intelligent traite ensuite ces données pour mesurer l’activité sur les assets testés.

Au-delà du trafic monitoré, nous sommes capables de calculer de manière plus exhaustive le temps d’activité offensif. Cette estimation inclut par exemple : le temps passé à découvrir les périmètres, à rédiger les rapports de vulnérabilité et à effectuer des tests en dehors du VPN.  C’est de cette manière que l’Activity Monitoring vous permet d’obtenir une vision précise du temps investi par les chercheurs dans la sécurisation de vos assets. 

De plus, tout le trafic de test passant par une IP fixe, vous pouvez facilement identifier les tests effectués par notre communauté de chercheurs, ce qui simplifie la gestion et la supervision. 

Mesurez l’activité de vos assets pour mieux les sécuriser.

L’Activity Monitoring de Yogosha vous permet non seulement de mesurer avec précision l’engagement des chercheurs mais aussi d’activer les bons leviers pour optimiser l’activité de tests sur vos assets.

Notre dashboard vous fournit une visibilité complète pour prendre les bonnes décisions et garantir une sécurité sans faille.

Les indicateurs clés sont :

  • Le nombre de chercheurs actifs ayant testé vos assets.
  • Le nombre d’heures d’activité offensive, incluant le temps estimé par notre algorithme afin de pouvoir mesurer l’effort de test sur vos assets et le ROI de vos opérations.
  • Le nombre de requêtes effectuées sur les cibles de vos assets.
  • Le nombre de rapports reçus, pour comparer votre niveau d’activité aux vulnérabilités découvertes.

Grâce à nos indicateurs clés, vous pouvez :

  • Avoir une vue globale de l’activité sur vos assets.
  • Obtenir un tableau comparatif des assets avec leurs indicateurs d’activité.
  • Accéder au détail des indicateurs par jour pour suivre pour suivre les variations du niveau d’activité.

Yogosha est le seul éditeur de logiciel à vous proposer une telle visibilité sur le marché.

Assurez la continuité et le ROI de vos tests de sécurité

L’accès à ces données vous permet d’évaluer le niveau d’activité des tests sur vos assets et de prendre des décisions éclairées pour améliorer continuellement votre posture de sécurité. 

Si les données révèlent une baisse d’activité, vous pouvez, avec l’accompagnement de notre équipe de Gestionnaires de programmes et nos Services Managés, activer différents leviers :

  • La rotation des chercheurs pour obtenir un regard neuf sur vos assets.
  • L’augmentation des récompenses pour attirer davantage de chercheurs et stimuler la compétition.
  • La mise à jour du périmètre de test pour couvrir plus de zones, se concentrer sur les assets critiques ou des zones moins testées.
  • Le lancement de nouvelles opérations pour cibler des assets spécifiques (pentest, checklist de sécurité, red team, bug bounty, etc…).

Comme le souligne Mohammed Foudhaili, notre Head of Security Programs, cette approche offre une visibilité sans précédent :

« L’Activity Monitoring permet aux security program managers de l’équipe Yogosha d’avoir une visibilité sur des indicateurs clés, leur permettant ainsi d’avoir un bon indicateur de la résistance aux attaques des assets de nos clients.

Ce qui est encore plus sympa, c’est que cela leur permet de voir quels assets et IPs sont les plus testés et lesquels nécessitent plus d’attention. De cette façon, nous pouvons orienter les chercheurs pour qu’ils couvrent davantage les zones à risque afin d’assurer jusqu’à 100% de couverture de la surface d’attaque. »

Grâce à l’Activity Monitoring, Yogosha vous permet de stimuler l’intensité des tests et de maximiser le retour sur investissement (ROI) de vos programmes de sécurité.

FDJ, un client de renom fait le choix de l’Activity Monitoring

FDJ UNITED, l’un des principaux opérateurs de jeux d’argent en Europe, a mis en œuvre 5 programmes de pentests, 10 programmes de Bug Bounty, et 1 programme de VDP avec Yogosha.

Ce géant du secteur s’appuie également sur la fonctionnalité Activity Monitoring, comme le confirme Jeremy Couture, CISO de FDJ United :

« Le monitoring – cela nous aide vraiment à comprendre si les programmes de sécurité sont sur la bonne ou la mauvaise voie. »

À l’image de la FDJ, prenez le contrôle de la sécurité de vos assets. Utilisez Activity Monitoring pour garantir une couverture de test complète et maximiser votre retour sur investissement.

Prêt à découvrir comment ?


Foire aux questions

Qu’est ce que l’Activity Monitoring ? 

L’Activity Monitoring de Yogosha est une fonctionnalité importante qui vous permet de mesurer et de suivre l’engagement des chercheurs en sécurité sur vos assets. Elle fournit des données précises vous permettant d’activer les bons leviers pour garantir une activité de tests continue pour vos programmes de Bug Bounty et de Pentests continus.

Comment le l’Activity Monitoring fonctionne-t-il ? 

Yogosha collecte le trafic des chercheurs en sécurité via le VPN Yogosha. Un algorithme intelligent analyse ensuite ces données pour mesurer l’activité sur les assets testés. L’Activity Monitoring prend également en compte le temps estimé pour les tests non effectués via le VPN, ainsi que le temps estimé de découverte des périmètres et de rédaction des rapports; pour une vue complète du temps passé à sécuriser vos assets. 

Quels sont les principaux indicateurs fournis par le dashboard Activity Monitoring ? 

Plusieurs indicateurs clés sont affichés sur le dashboard : 

  • Le nombre de chercheurs actifs ayant testé vos assets.
  • Le nombre d’heures d’activité offensive, incluant le temps estimé par notre algorithme (basé sur l’activité monitorée) pour une vue complète du temps réellement passé à sécuriser vos assets.
  • Le nombre de requêtes effectuées sur les cibles de vos assets.
  • Le nombre de rapports reçus, pour comparer votre niveau d’activité aux vulnérabilités découvertes.

Comment puis-je utiliser ces indicateurs clés pour améliorer la performance de mes tests de sécurité ?

Ces indicateurs vous permettent d’évaluer l’intensité et la couverture des tests afin de les ajuster au fur et à mesure de l’évolution de vos besoins. Dans le cas contraire, vous pouvez augmenter l’activité des tests en utilisant plusieurs leviers: 

  • La rotation des chercheurs pour obtenir un regard neuf sur vos assets.
  • L’augmentation des récompenses pour attirer davantage de chercheurs et stimuler la compétition.
  • La mise à jour du périmètre de test pour couvrir plus de zones, se concentrer sur les assets critiques ou des zones moins testées.
  • Le lancement de nouvelles opérations pour cibler des assets spécifiques.

Comment l’Activity Monitoring aide-t-il à améliorer le retour sur investissement (ROI) ?

En mesurant le niveau d’activité de tests sur vos assets, vous pouvez identifier les zones à risque et ajuster vos programmes de sécurité en conséquence. En stimulant l’intensité des tests (via la rotation des chercheurs, l’ajustement des récompenses, etc.), vous maximisez les chances de trouver des vulnérabilités avant qu’elles ne soient exploitées, ce qui protège votre entreprise et optimise vos budgets.