Tests d’intrusion

Chez Roche, les tests de sécurité ne constituent pas une opération ponctuelle. Il s’agit d’un processus continu et adaptatif. Les tests d’intrusion sont effectués systématiquement à des moments critiques, notamment :

• avant le lancement d’un produit ;

• après des modifications importantes apportées à l’architecture ; et

• de manière régulière, afin de s’adapter à un environnement de sécurité en constante évolution.

Afin de renforcer la vigilance sur le long terme nous complétons ces tests internes par des programmes de prime à la faille détectée, ce qui incite la communauté d’experts en sécurité à nous aider à identifier les vulnérabilités potentielles.

La portée de nos tests d’intrusion repose sur une planification minutieuse, visant à garantir que toute la surface d’attaque de nos produits est prise en compte. Cela inclut des évaluations complètes de nos solutions basées sur le cloud :

• les applications Web ;

• les API ;

• l’infrastructure cloud ;

• les applications mobiles.

Par ailleurs, la validation de la sécurité s’étend à notre gamme d’instruments pour dispositifs médicaux.

Afin de garantir l’objectivité, les tests d’intrusion sont menés par une équipe de sécurité interne indépendante et dédiée, distincte des organisations de développement. Cette distinction respecte la norme CEI 81001-5-1:2021 et peut être ponctuellement renforcée par l’intervention de partenaires tiers reconnus. La solide expérience ainsi que les compétences techniques de nos spécialistes sont attestées par des certifications reconnues à l’échelle internationale, notamment :

• la certification Offensive Security Certified Professional (OSCP) : tests d’intrusion pratiques avancés ;

• la certification CREST Registered Penetration Tester (CRT) : tests d’intrusion professionnels, éthiques et de haute qualité ;

• la certification Certified Ethical Hacker (CEH) : techniques fondamentales de piratage éthique.

Ce haut niveau de qualification permet de garantir des méthodes de test à la pointe et conformes aux bonnes pratiques.

Nos tests s’appuient sur une méthode rigoureuse dite « en boîte blanche » , qui permet une évaluation complète, en adéquation avec les objectifs du plan de test. Les testeurs ont accès à certains éléments, notamment :

• des informations techniques ;

• du code ;

• les informations sur la configuration ;

• les architectures produit et système.

Cela permet aux testeurs de réaliser une évaluation complète. Notre processus est conforme aux bonnes pratiques du secteur et aux référentiels de sécurité reconnus, tels que l’OWASP Top 10 (Open Worldwide Application Security Project) et les référentiels établis par le Center for Internet Security (CIS).