×
Menu S’inscrire à une démo
Retour aux articles

Powimo obtient la note de 10/10 au test d’intrusion réalisé par XMCO

Face aux risques croissants en matière de cybersécurité, SEIITRA  a mis en place des mesures et des dispositifs de pointe pour garantir la sécurité des données de ses clients administrateurs de biens.

Pour s’en assurer, SEIITRA réalise annuellement des tests d’intrusion et de sécurité applicative avec des tiers de confiance indépendants. Le dernier en date (mai 2023) a été réalisé par le cabinet d’expertise en cybersécurité XMCO.

Nous avons le plaisir de vous annoncer que Powimo a obtenu une nouvelle fois un 10/10 !

Qu’est-ce qu’un test d’intrusion ?

Un test d’intrusion consiste à simuler les pratiques couramment utilisées par les hackers et par les logiciels malveillants (malwares), pour s’introduire dans un système, afin de voler ou de détruire des données.

À l’issue de ces tests, un rapport est établi. Ce rapport peut mettre en évidence des failles plus ou moins critiques qui doivent être rapidement corrigées, car elles constituent un risque réel pour l’entreprise et/ou les données qu’elle héberge.

Comment se déroule un test d’intrusion ?

Les tests d’intrusion ont été réalisés en deux temps.

La première phase, dite de « boîte noire », consiste à simuler le comportement d’un pirate qui ne disposerait d’aucune information.

La deuxième phase, dite de « boîte grise », consiste à réaliser des tests à partir de comptes d’accès afin de simuler le comportement d’un utilisateur peu scrupuleux.

Au cours de l’audit, une série de tests a été réalisée sur l’ensemble des applications et environnements,  afin de détecter des anomalies exploitables par de potentiels utilisateurs malveillants.

Les résultats du test d’intrusion pour Powimo

Les tests d’intrusion sur l’application Web (Front Office) Powimo ont mis en évidence le fait qu’il n’y avait pas de vulnérabilités décelées.

  • Lors des tests, aucun scénario permettant de compromettre le serveur hébergeant les applications n’a été identifié. En effet, aucune fonctionnalité de téléversement de fichier n’a pu être détournée afin de déposer un fichier malveillant menant à de l’exécution de commandes.  De plus, aucune injection SQL n’a permis d’exécuter des commandes arbitraires sur le serveur sous-jacent.

 

  • Durant les tests, aucune vulnérabilité permettant d’usurper l’identité d’un autre utilisateur ou de compromettre une session active n’a été identifiée. L’authentification et la session reposent sur des mécanismes robustes (jeton JWT) dont l’analyse de sécurité n’a pas mis en évidence de défaut.

 

  • Aucune fonctionnalité dédiée aux utilisateurs authentifiés n’est accessible par un attaquant ne disposant pas d’un compte sur l’application. Le mécanisme d’authentification n’a pas pu être contourné durant le temps imparti aux tests.

 

Powimo, un logiciel de gestion locative et syndic fiable et sécurisé

Aux côtés des administrateurs de biens depuis 30 ans, nous vous accompagnons quotidiennement dans votre transformation numérique, au service de la productivité et de la relation client du cabinet.

La sécurité de vos données est notre priorité, c’est pourquoi nous avons mis en place des mesures et des dispositifs de pointe. Nous utilisons au sein de notre SI,  des outils avancés en termes de sécurité réseau, d’authentification de protection de la messagerie, mais aussi des postes de travail et serveurs (notamment via antivirus nouvelle génération avec EDR managé par l’éditeur 24*7, mais également la journalisation SIEM et la présence d’une équipe dite SOC adossés à des services de renseignement avancés sur la menace cyber criminelle).

Tout ceci nous permet de surveiller en temps réel les activités suspectes sur notre réseau. Ces outils et notre organisation nous permettent d’augmenter l’anticipation, la détection et de faciliter la réaction en cas d’anomalie ou d’attaque.

En outre, nous utilisons un pipeline DevSecOps pour scanner régulièrement notre code et notre infrastructure, afin de détecter et de corriger rapidement les vulnérabilités. Cette approche proactive nous permet d’identifier les vulnérabilités avant qu’elles ne soient exploitées par des cybercriminels.

Malgré toutes ces précautions, malheureusement le risque 0 n’existe pas. La cybersécurité, c’est l’affaire de tous ! Et c’est la raison pour laquelle SEIITRA réalise annuellement des tests d’intrusion et de sécurité applicative avec des tiers de confiance indépendants

Pour en savoir plus, Lire l’article « Sécurité des données : un enjeu majeur pour les administrateurs de biens » : https://www.seiitra.com/blog/securite-des-donnees-un-enjeu-majeur-pour-les-administrateurs-de-biens/

 

A propos de XMCO : Depuis plus de 20 ans, le cabinet accompagne tous types d’entreprises privées et publiques dans leurs enjeux liés à la cybersécurité que ce soit en France comme à l’international.

publié le 30 mai 2023
Les derniers articles
  1. Migration des données : la méthode SEIITRA pour un changement de logiciel en toute sérénité
  2. Calendrier des Événements SEIITRA : Rencontrez-nous et Découvrez Powimo !
  3. Logiciel état des lieux : un indispensable pour les gestionnaires de gérance locative
  4. Du back-office au front-office : comment le métier de comptable mandant évolue (et pourquoi il faut s’en réjouir)
  5. Gestion de syndic de copropriété : ce qu’il faut savoir pour une relation client optimale
  6. Cabinet d’administration de biens : 6 bonnes raisons de changer de logiciel
  7. Journée des dirigeants Powimo
  8. La régie PEDRINI fait confiance à Powimo pour digitaliser ses process métier
  9. État des lieux simplifié : suivez le guide !
  10. Logiciel de gestion locative : selon quels critères le choisir ?