Tests de sécurité
Activités de tests d’intrusion
Bien que nous nous efforcions d’identifier et de prévenir les bugs de sécurité dans notre pipeline de développement logiciel, aucun système n’est parfait. C’est pourquoi nous effectuons régulièrement des évaluations de sécurité sur nos produits. Ces évaluations sont généralement effectuées dans un scénario de boîte blanche avec accès aux détails de l’architecture et au code source. Cette approche aboutit à des tests plus efficaces et plus performants par rapport à un scénario de type « boîte noire » où peu d’informations sont fournies sur le produit.
Dans le cadre d’évaluations récentes, nous avons commencé à recueillir et à publier des lettres d’attestation. Pour ce qui est des évaluations plus anciennes, nous nous ferons un plaisir de vous communiquer les détails sur simple demande. Nous comptons rassembler les lettres pour les tests suivants/futurs et à mesure qu’ils seront terminés.
Lettres d’attestation d’évaluation
| Solution | Produit | Date du dernier test | Fournisseur | Lettre d’attestation |
|---|---|---|---|---|
| Endpoint | Intercept X | Octobre 2024 | MWR CyberSec | Lettre attest. - MWR - Endpoint |
| XDR | Février 2024 | MDSec | Lettre attest.- MDSec - MDR - XDR - SOC.OS | |
| Sophos Mobile Control | Août 2024 | MWR CyberSec | Lettre attest. - MWR - SMC | |
| Réseau | Firewall | Novembre 2024 | MWR CyberSec | Lettre attest.– MWR – Firewall Lettre attest.– MWR – Client Sophos Connect |
| SG UTM | Juillet 2022 | Nettitude | Contactez-nous | |
| Remote Ethernet Devices SD-RED | Novembre 2021 | MDSec | Contactez-nous | |
| ZTNA | Octobre 2023 | MWR CyberSec | Lettre attest.- MWR - Firewall/ZTNA | |
| Switch | Janvier 2024 | Sophos Red Team | Contactez-nous | |
| DNS Protection | Janvier 2024 | MWR CyberSec | Lettre attest. - MWR - DNS Protection | |
| Opérations de sécurité | MDR | Février 2025 | MDSec | Lettre attest. - MDSec - MDR |
| XDR | Février 2024 | MDSec | Lettre attest.- MDSec - MDR - XDR - SOC.OS | |
| Refactr | Février 2022 | Sophos Red Team | Contactez-nous | |
| SOC.OS | Février 2024 | MDSec | Lettre attest.- MDSec - MDR - XDR - SOC.OS | |
| Usine | Février 2024 | MDSec | Lettre attest. - MDSec - Sophos Factory | |
| Messagerie | Central Email | Août 2024 | Sophos Red Team | Contactez-nous |
| Cloud | Sophos Central | Janvier 2025 | MDSec | Lettre attest. - MDSec - Central |
| Cloud Optix | Janvier 2024 | MDSec | Lettre attest. - MDSec - Optix | |
| ZTNA | Février 2025 | Partenaires de tests d’intrusion | Lettre attest. – PTP – ZTNA | |
| Firewall | Octobre 2023 | MWR CyberSec | Lettre attest.- MWR - Firewall/ZTNA | |
| Sécurité domestique | Sophos Home | Août 2022 | Sophos Red Team | Contactez-nous |
| Taegis | Taegis VDR | Juillet 2025 | MWR CyberSec | LoA – MWR – Taegis VDR |
| Autres | SophosLabs (y compris Intelix) | Novembre 2024 | Sophos Red Team | Contactez-nous |
Exercices de simulation
Chez Sophos, nous estimons qu’il est très important de tester régulièrement nos capacités. Pour ce faire, nous développons des scénarios d’exercice de simulation auxquels contribuent des experts de l’ensemble de l’entreprise et notre équipe de gestion des risques.
Le tableau ci-dessous détaille certains des scénarios d’exercice de simulation que nous avons récemment exécutés.
Scénarios d’exercices de simulation récents
| Équipe | Scénario | Date |
|---|---|---|
| Équipe SMC | Attaque de la chaîne d’approvisionnement entraînant la compromission massive des appareils des clients | Q2 2025 |
| Ingénieurs commerciaux | Attaque par phishing avec usurpation d’identité et exfiltration d’informations personnelles identifiables | Q1 2025 |
| Service financier | Attaque ciblée contre le service financier par un attaquant se faisant passer pour un fournisseur | Q4 2024 |
| Équipe MDR | Une compromission impliquant un développeur et un analyste a conduit à une attaque par ransomware à l’encontre d’un client. | Q3 2024 |
| Achats internationaux | Intégration malveillante de fournisseurs et fausse demande d’achat | Q2 2024 |
| SophosLabs | Menace interne | Q1 2024 |
| RH | Un ransomware et une fuite de données personnelles d’employés. | Q4 2023 |
| Support | Une attaque ciblée par un individu se faisant passer pour un client. | Q3 2023 |
| Marketing | Un employé impliqué dans la défiguration du site web et des réseaux sociaux de l’entreprise. | Q2 2023 |
| Juridique/légal | Un chercheur de bug bounty malveillant. | Q1 2023 |
| Sophos Home | Un ingénieur malveillant à l’origine d’une importante perte de données personnelles identifiables | Q4 2022 |
| SophosLabs | Un système d’analyse compromis, une attaque de la supply chain. | Q3 2022 |
| Endpoint | Des binaires Sophos compromis, une attaque de la supply chain. | Q2 2022 |
| Optix | Un ingénieur est victime de phishing. | Q1 2022 |
| IT | Un incident de ransomware à grande échelle. | Q4 2021 |
| Central | Une vulnérabilité de type zero day dans l’application a conduit à la compromission de données clients. | Q4 2020 |
Gestion du risque fournisseur SecurityScorecard
Les solutions de gestion du risque fournisseur informatique (VRM) soutiennent les entreprises qui évaluent, surveillent et gèrent les risques liés à l’utilisation de produits, de services et d’éditeurs informatiques tiers pouvant accéder à leurs données. Il existe de nombreuses solutions informatiques VRM, qui diffèrent toutes par leur capacité à identifier avec précision les actifs d’un fournisseur et les risques potentiels associés à ces actifs.
Sophos s’associe à SecurityScorecard et à sa plateforme VRM pour accompagner les clients qui utilisent des outils VRM informatiques dans le cadre de leur processus d’approvisionnement. Pour voir notre note actuelle, visitez https://securityscorecard.com/security-rating/sophos.com.
