Pourquoi Préfon a choisi notre prestation de Pentests Applicatifs ?
Préfon a fait appel à notre expertise en pentest applicatif afin de renforcer la sécurité de ses applications. Découvrez le témoignage de Max THIERCY - Responsable informatique et organisation chez Préfon sur la réalisation de ce projet.
Le contexte de la collaboration entre Préfon et NBS System
Pouvez-vous nous présenter Préfon et son positionnement ?
M.T. « Préfon est une association française qui existe depuis 1964. Nous fêtons cette année le 60ème anniversaire de sa création. Elle a été créée pendant la période des 30 glorieuses, suite au constat qu'il n'y avait pas de possibilité de couverture complémentaire en matière de retraite pour les fonctionnaires. Préfon s’appelle officiellement Caisse Nationale de la Fonction Publique et a été conçue par l’association de quatre fédérations syndicales de fonctionnaires, la FO, la CFDT, la CFTC et la CGC. Etant régie par la loi 1901, l’association par essence n’a pas pour activité de créer et partager des bénéfices ou de rechercher un profit. Face à ce contexte, l’entreprise Préfon Distribution a été créée et agit en tant que Courtier d’Assurance sous le statut de SAS Société par Actions Simplifiée. Au démarrage, Préfon distribuait essentiellement des plans d'épargne-retraite, puisque c'était la vocation primitive de l'entreprise. Par la suite, l'activité a évolué pour se positionner désormais plutôt dans la proposition de solutions de gestion de patrimoine. C’est à la fois du plan d'épargne-retraite, de l'assurance-vie et des solutions patrimoniales.
En tant que courtier, Préfon agit comme intermédiaire commercial et s’appuie sur des partenaires pour gérer l’aspect financier des plans d’épargne et des plans d’assurance-vie. Les partenaires principaux de Préfon sont la CNP (Caisse Nationale de la Prévoyance) qui est une filiale de La Poste et Suravenir, une filiale du groupe Crédit Mutuel ARKEA. »
Voici quelques chiffres clés sur Préfon :
M.T. « Préfon, c’est environ 30 collaborateurs et plusieurs centaines de partenaires.Son flux annuel transitoire est de l'ordre de 290 millions d'euros. »
Quelle importance accordez-vous à la sécurité dans votre stratégie ?
M.T. « Pour Préfon, la sécurité est fondamentale. En tant que système d’informations et acteur financier, nous nous devons de protéger, sécuriser et de faire en sorte que les données ne soient pas accessibles, divulguées ou modifiables. Il est également nécessaire de démontrer à nos entreprises partenaires, qu’il est impossible de s’introduire frauduleusement dans leur système d’information, depuis le nôtre. Ainsi, nous souhaitons éviter toute nuisance, que ce soit au niveau du blocage de leur serveur, de l'extraction de données ou de la divulgation de données. »
Comment avez-vous choisi votre partenaire pour réaliser vos pentests applicatifs ?
M.T. « Lorsque Préfon a lancé son appel d’offres, nous recherchions bien plus qu’un simple prestataire de services. Nous voulions un partenaire de confiance, capable de comprendre nos besoins et de proposer des solutions efficaces. Après une évaluation rigoureuse et comparative, nous avons sélectionné NBS System en se basant essentiellement sur la qualité du devis fourni, le relationnel avec les équipes et les références. »
Le projet tests d'intrusion applicatifs pour Préfon
Qu’est-ce qui a déclenché la création du projet ?
M.T. « Il faut savoir que l'activité de Préfon est essentiellement basée sur la technologie Internet. Nous n’avons pas de centres d'accueil, toutes les démarches de nos clients se font par une série de formulaires en ligne, qui sont appelés des tunnels de souscription. Par ailleurs, l’ensemble des systèmes d’information de Préfon sont protégés, il y a des restrictions d’accès très fortes et ce, même en interne. Néanmoins, nous avons obligatoirement vis à vis de nos clients, des accès publics sur le web. Via les échanges d’informations réalisés avec nos clients et les processus de signatures électroniques, nous ouvrons une porte vers le système client. Dans le cadre de notre relation avec notre partenaire Suravenir, nous avons développé un nouveau tunnel de souscription permettant l’intégration à leur système. Aussi, afin d’assurer la sécurité de cet accès, et pour contrôler l’étanchéité des 2 périmètres, il nous a paru prioritaire de mener des actions sécurité dont le test d’intrusion afin de s’assurer qu’il n’y avait pas la possibilité de réaliser des actions néfastes. »
Quels étaient les principaux objectifs de cette démarche de sécurité ?
M.T. « Pour garantir la sécurité optimale des systèmes de Préfon, nous avions deux objectifs principaux. Le premier était d’obtenir l’autorisation de la mise en production des applications logicielles vis-à-vis de nos partenaires. C’est-à-dire une approbation de sécurité pour pouvoir les mettre en service. Le second objectif était d'avoir un audit de sécurité global sur l'ensemble de nos points d'entrée applicatifs publics. Un audit fournit un constat factuel du niveau de sécurité et des actions de remédiation en cas d’axes d’améliorations identifiés. »
Pouvez-vous nous décrire le déroulement du pentesting ?
M.T. « Nous avons adopté une approche en deux phases lors de ce pentest applicatif. La première étape, dite de boîte noire, consistait à simuler une attaque externe sans aucune connaissance préalable des systèmes en place. Cette technique a permis d’évaluer les défenses Préfon du point de vue d’un attaquant potentiel, identifiant ainsi les vulnérabilités exploitables sans informations sur l’applicatif. Suite à cette première étape, nous sommes passés à la phase de boîte grise. Nous avons attribué des comptes sur notre applicatif aux pentesters de NBS System. Ainsi, ils ont pu s’authentifier tel un utilisateur pour vérifier le cloisonnement des rôles et des clients mais aussi challenger, d’un point de vue attaquant, l’application et sa logique métier. Grâce à cette approche méthodique, NBS System nous a fourni des recommandations précises et efficaces pour renforcer la sécurité de Préfon. »
Comment les équipes ont-elles collaboré pendant le projet ?
M.T. « Un chef de projet nous a été attribué, ce qui nous a offert un support important de la part de NBS System. Il a été garant du bon déroulé de la mission depuis la contractualisation, jusqu’à la réunion de restitution. Par ailleurs, nous avons eu aussi des pentesters attribués au projet avec qui nous avons pris connaissance dans une réunion de lancement et avec qui nous avions des interactions techniques. Cela nous a permis de collaborer correctement, en suivant leurs préconisations. D’un point de vue pratique, nous avons dû mettre à disposition les éléments qui permettaient à NBS System d'accéder au système d'information. Cela a nécessité la mise en relation avec nos partenaires, nos fournisseurs et nos hébergeurs, puisque nous sommes une structure entièrement hébergée et virtualisée. Il fallait également autoriser l’accès aux informations avec un maximum de précautions afin de pouvoir démarrer les tests. »
Besoin d'un accompagnement en Pentest Applicatif ?
Nos équipes peuvent vous conseiller en vous apportant leur expertise.
Améliorations suite au Pentest applicatif
Comment avez-vous collaboré avec NBS System pour mettre en place les correctifs suite aux résultats des tests ?
M.T. « Nous avons eu 3 audits depuis septembre 2023. Le premier avait permis de faire des levées importantes, notamment des points assez graves, comme de l'injection SQL. Nous avons apprécié le process mis en place par les équipes de NBS System dans ce contexte. Ils nous ont alerté en urgence pour les vulnérabilités critiques afin que nous puissions initier les actions de remédiation. Ce qui nous a amené à réagir très rapidement. Une campagne de correction importante a été mise en place, avec un 2ème audit. Par la suite, nous avons fait réaliser un 3ème audit dédié à un nouveau tunnel de souscription. On en a profité pour demander un contre audit, afin de vérifier que les corrections mises en place précédemment étaient efficaces. »
Quelles étaient vos principales préoccupations en matière de sécurité avant de réaliser ces tests, et dans quelle mesure ont-elles été adressées ?
M.T. « Les principales préoccupations concernaient la vulnérabilité du système. C'était essentiellement d’identifier les failles de sécurité et ce qu'il pouvait manquer à notre niveau, car nous ne sommes pas toujours formés ou informés sur comment contrer, bloquer ou se protéger face à d'éventuelles attaques. D'autant plus, que l’évolution rapide des logiciels, des technologies, des méthodes des pirates et des tentatives malveillantes, font que l’on avait besoin d'avoir les idées un peu claires sur les possibles failles du système. On sait que l'on n'est pas protégé à 100 %, cela n'existe pas, mais l’utilité était de mesurer la sécurité qu'il y avait au niveau des applicatifs. »
Quelle a été la plus-value apportée par NBS System ?
M.T. « L’équipe NBS System dispose d’une expertise confirmée en test d’intrusion. Nous avons directement eu conscience que nous avions affaire à des personnes qui savent de quoi elles parlent. L’accompagnement fourni a été très apprécié, ainsi que le travail de restitution après l'audit. Il y a eu un réel travail d'échange dans lequel on peut aussi expliquer le pourquoi de la situation. NBS System nous a fourni des recommandations précises et efficaces pour renforcer la sécurité de Préfon, ce qui démontre leur engagement à offrir du service de haute qualité et adapté aux besoins spécifiques. »
Les résultats des pentests applicatifs et les perspectives
Comment évaluez-vous l'impact de ces tests de sécurité sur la robustesse et la fiabilité de votre site Préfon ainsi que la relation avec votre client ?
M.T. « Les tests avec leurs audits et contre audits ont eu des résultats satisfaisants. Ils nous ont permis d’atteindre notre objectif, qui était l’acquittement positif de notre partenaire pour la mise en production de l’application. Au niveau de l'association Préfon, il y a une cellule qui veille à la sécurité d’un point de vue très large, c'est-à-dire sur un plan à la fois social et technique. Nous sommes dans un cycle d'amélioration perpétuelle, de vérification et de qualification des applicatifs pour ne pas être vulnérables. Ces tests de sécurité nous ont permis d’identifier un certain nombre de points de travail qui ne sont pas spécifiques à nos applicatifs, mais qui sont plus des points de vulnérabilité liés à la technologie web. Typiquement, ce sont des possibilités d'attaque de masse, de déni de service ou autres, que nous ne pensons pas forcément à contrer au démarrage et qui peuvent s'avérer pénalisant d’un point de vue professionnel. »
Prévoyez-vous de futures collaborations ?
M.T. « Oui, puisque nous allons avoir des besoins récurrents dans 2 domaines. Premièrement, pour avoir une certification annuelle de certains points applicatifs et surtout par rapport aux conseils de sécurité interne à Préfon. Deuxièmement, nous allons avoir des besoins à chaque fois que nous allons vouloir mettre en place une nouvelle application, vis à vis de nos entreprises partenaires. »
Des questions sur les pentests applicatifs ?
Nos experts peuvent vous apporter des précisions !
