Découvrez dans ce témoignage client, le retour d'expérience d'Etienne BAUCHET, Directeur Technique (CTO), sur la réalisation de tests d'intrusion applicatif. Il raconte les défis auxquels son entreprise Gedivote a dû faire face et partage les retours de sa collaboration avec NBS System.
Les témoignages clients sont une preuve concrète de la qualité et de l’efficacité d’un service. Chez NBS System, nous mettons un point d’honneur à accompagner nos clients dans la sécurisation de leurs systèmes d’information.
Le contexte de réalisation du test d'intrusion applicatif
Notre client GEDIVOTE et son activité
Pour commencer, pouvez-vous nous présenter GEDIVOTE ? Quels sont votre mission et votre positionnement sur le marché ?
E.B. « GEDIVOTE est une entreprise spécialisée dans la mise en œuvre de solutions de vote électronique sécurisées.
Notre mission est d'offrir des services de vote fiables, transparents, accessibles et conformes aux exigences réglementaires, garantissant ainsi l’intégrité des processus électoraux pour nos clients.
Nous nous positionnons comme un acteur de confiance, reconnu sur le marché Français, mettant la sécurité au cœur de nos solutions, qu'il s'agisse d'élections professionnelles, institutionnelles ou associatives. »
L'enjeu de cybersécurité d'une entreprise de votes électroniques
Pour mieux comprendre votre activité, pourriez-vous partager quelques chiffres clés qui illustrent votre évolution et votre impact ?
E.B. «Depuis plus de 20 ans, GEDIVOTE s’impose comme un acteur majeur du vote électronique sécurisé en France.
Grâce à l’engagement de nos 35 collaborateurs, nous avons, au cours des 5 dernières années, accompagné plus de 1 000 clients, mené à bien plus de 3 000 projets et permis à 15 millions d’électeurs par an de voter en toute sécurité.»
L'importance d'une stratégie de sécurité
La sécurité est un enjeu majeur aujourd’hui. Comment s’intègre-t-elle dans votre stratégie globale ?
E.B.« Compte tenu de la nature de notre activité, la sécurité est au cœur de notre stratégie. Nos solutions de vote électronique doivent garantir l’intégrité du scrutin en respectant les principes fondamentaux du vote et en offrant un degré de sécurité maximal.
Par ailleurs, nous gérons pour le compte de nos clients une quantité importante de données à caractère personnel, ce qui nous impose d’offrir des garanties très fortes en matière de protection des données.
Notre stratégie repose sur plusieurs piliers :
- Un engagement fort en Recherche & Développement, avec près de 50 % de notre effectif dédié à l’innovation, nous permettant de concevoir des solutions robustes et hautement sécurisées. Nos solutions sont adaptées aux enjeux spécifiques de notre métier et sont également conformes aux conditions de la CNIL, notamment en termes d'objectifs de sécurité liés au vote électronique.
- Une gouvernance stricte de la sécurité et de la protection des données, garantissant la mise en place et l’application des meilleures pratiques.
- Le choix de partenaires experts dans leurs domaines, qu’il s’agisse de l’hébergement de nos solutions, de la mise à l’épreuve de nos plateformes via des audits ou tests de sécurité, ou encore de l’accompagnement en R&D sur des innovations technologiques. En général, ils sont certifiés ISO 27001 ou HDS.»
Le choix d'un prestataire expert en tests d'intrusion
Qu’est-ce qui vous a amené à choisir NBS SYSTEM pour réaliser vos tests d'intrusion applicatif ? Quels critères étaient importants pour vous dans ce choix ?
E.B.« Nous avons sélectionné NBS SYSTEM à l’issue d’une étude comparative de plusieurs acteurs du domaine, intégrant notamment une réunion d’échange avec les équipes. Cet échange nous a permis d’approfondir notre évaluation en posant des questions précises et en validant leur capacité à répondre à nos critères essentiels.
Conformément à notre politique de sécurité, nous veillons à ne pas solliciter le même prestataire deux fois consécutivement. Cette approche nous permet de bénéficier d’un regard neuf et de diversifier les approches en matière d’audit, garantissant ainsi un niveau de sécurité toujours plus exigeant.
Les critères clés qui ont guidé notre choix étaient :
- L’expertise et l’expérience des auditeurs, garantissant des tests approfondis et pertinents.
- Des livrables de qualité, incluant une synthèse exécutive claire et exploitable, facilitant la communication des résultats auprès de nos clients et parties prenantes.
- Une forte réactivité, permettant une mise en œuvre rapide de l’audit, avant la mise en production de la version.»
Un besoin en pentest pour applications
Quel a été le déclic ou le besoin spécifique qui vous a poussé à réaliser des penetrations tests sur votre solution SaaS ?
E.B.« Compte tenu des exigences élevées en matière de sécurité propres à notre activité, nous adoptons une démarche proactive en réalisant des tests d’intrusion à chaque nouvelle version majeure de notre application, soit à minima une fois par an.
Ces audits répondent à un double objectif :
- Détecter et corriger d’éventuelles failles de sécurité qui pourraient avoir été introduites lors des évolutions du produit.
- Fournir à nos clients un rapport d’audit récent, conforme aux bonnes pratiques du secteur, afin de répondre aux exigences de sécurité exprimées dans leur politique de sécurité.
Cette approche nous permet d’anticiper les risques et de garantir un haut niveau de sécurité sur l’ensemble de nos services, renforçant ainsi la confiance de nos clients et la résilience de notre plateforme. »
Les objectifs de cette prestation de pentest applicatif
Quels étaient vos principaux objectifs avec cette démarche ? Aviez-vous des attentes précises en termes de résultats ou d’impacts ?
E.B.« Nos objectifs clés étaient les suivants :
- Identifier et corriger proactivement d’éventuelles failles pouvant être introduites lors des évolutions de notre application avant sa mise en production.
- Assurer un niveau de sécurité optimal pour protéger les données à caractère personnel et garantir les principes fondamentaux du vote lors des scrutins.
- Répondre aux exigences de nos clients, en leur mettant à disposition un rapport d’audit récent, essentiel dans le cadre de l’évaluation du niveau de sécurité et le choix de leurs prestataires.
Nos attentes en termes de résultats :
- Obtenir une évaluation précise des vulnérabilités potentielles et de leur criticité.
- Disposer de recommandations actionnables pour renforcer la sécurité de nos systèmes.
- Démontrer à nos clients le niveau de sécurité de notre solution de manière transparente.
Cette approche nous permet d’anticiper les risques, d’élever continuellement notre niveau de sécurité, et de garantir à nos clients une solution de vote électronique fiable et conforme aux meilleures pratiques du secteur. »
Déroulement du test d'intrusion applicatif pour Gedivote
Pouvez-vous nous expliquer, de façon concrète, comment les tests de sécurité, notamment les tests en boîte noire et boîte grise ont été traités ? Comment avez-vous vécu cette expérience ?
E.B.« Les tests de sécurité se sont déroulés en plusieurs étapes, avec une approche progressive pour évaluer différents scénarios d’attaques.
L'équipe NB System a d’abord effectué des tests en boîte noire, c’est-à-dire sans aucune information préalable sur notre application, comme le ferait un attaquant externe. L’objectif était d’évaluer la surface d’attaque accessible publiquement et d’identifier d’éventuelles vulnérabilités exploitables sans authentification.
À l’issue de cette première phase, nous avons organisé une présentation de l’application afin que l'équipe NBS System dispose des informations essentielles pour explorer notre solution de manière plus exhaustive.
Enfin, après avoir généré des codes de tests pour l’ensemble des profils disponibles, l'équipe NBS System a poursuivi ses analyses en boîte grise, avec des accès authentifiés.
Cette démarche permet de simuler un utilisateur malveillant ou un compte compromis afin d’évaluer des aspects critiques tels que la gestion des privilèges, l’escalade de droits et la protection des données sensibles. »
Retour d'expérience sur la prestation
Comment s’est passée la collaboration entre vos équipes et celles de NBS SYSTEM tout au long du projet ?
E.B.« La collaboration s’est déroulée dans un climat professionnel et constructif, alliant échanges de qualité et réactivité. La communication a été fluide et notre équipe a particulièrement apprécié la disponibilité, la réactivité et l’expertise des auditeurs de NBS SYSTEM. »
« La réactivité de NBS SYSTEM et leur capacité à réaliser un audit de qualité dans un délai assez court ont fait la différence. »
Quels enseignements tirez-vous de ces tests ? Quels ont été les principaux bénéfices analysés pour votre entreprise ?
E.B.« Cet audit s’inscrit dans la continuité de notre politique de sécurité, qui repose sur une mise à l’épreuve régulière de nos solutions et une veille constante sur les menaces émergentes. Il nous permet de renforcer notre niveau de protection et d’anticiper les risques liés à l’évolution de notre application.
Au-delà des résultats techniques, ces tests ont été une expérience enrichissante, grâce à des échanges constructifs avec les experts de NBS SYSTEM. Leur regard externe et leur expertise ont contribué à notre amélioration continue, en nous apportant de nouvelles perspectives et des pistes d’optimisation. »
Vous souhaitez solliciter un test d'intrusion applicatif ?
Besoin d’information complémentaires ou d’un devis pour nos prestations de pentest ?
Votre expert cybersécurité pour entreprises
Chez NBS System, chaque cas client témoigne de notre expertise et de notre engagement en cybersécurité. Spécialistes des tests d'intrusion, audits de sécurité, approche Red Team et DevSecOps, nous aidons les entreprises à protéger efficacement leurs systèmes d'information. Faites comme nos clients satisfaits et découvrez nos solutions adaptées à vos besoins. Explorez nos offres pour votre entreprise dès aujourd’hui.
Découvrez d'autres témoignages de nos clients
CRAM : Cas client…
Un Cas Client sur comment renforcer son SI grâce au pentest (Test d'intrusion) Découvrez dans ce cas client le témoignage…
Témoignage client Préfon Pentest…
Pourquoi Préfon a choisi notre prestation de Pentests Applicatifs ? Préfon a fait appel à notre expertise en pentest applicatif…
Témoignage Client Docoon
Le contexte de la collaboration « Penetration Testing » Docoon X NBS System Pouvez-vous nous présenter Docoon et son positionnement…