Aujourd'hui, nous sommes heureux d'annoncer une avancée majeure dans notre offre de cybersécurité : Pentesting de l'IA des applications web, délivré par Bureau Veritas Cybersecurity en partenariat avec XBOW.

Le modèle est simple : L'IA teste à l'échelle, nos experts testent là où le jugement compte le plus, et la combinaison donne des résultats que ni l'un ni l'autre ne peut atteindre seul.

Ce nouveau service " human-in-the-lead " représente la prochaine évolution de notre expertise de longue date en matière de tests d'intrusion. Il améliore ce que Bureau Veritas a toujours représenté, une assurance de confiance, un jugement d'expert et une gouvernance rigoureuse, désormais étendus avec l'échelle et la vitesse d'une exploration autonome, pilotée par l'IA.

Pourquoi Bureau Veritas est à l'avant-garde de ce changement ?

Depuis des décennies, Bureau Veritas Cybersecurity aide les organisations à sécuriser leurs systèmes digitaux grâce à des tests d'intrusion approfondis, menés par des humains et ancrés dans l'expertise, la gouvernance et le principe des quatre yeux. Alors que les applications web et les API ont considérablement gagné en complexité, nous avons reconnu la nécessité d'évoluer : non pas en remplaçant l'expertise humaine, mais en l'étendant.

Les applications évoluent aujourd'hui plus rapidement que les cycles de pentesting traditionnels. Les surfaces d'attaque s'étendent. Les acteurs de la menace utilisent l'automatisation et l'IA pour accroître leur portée. Les organisations sont sous pression pour obtenir plus d'assurance dans la même fenêtre de test.

IA-Augmented Pentesting est notre réponse stratégique : un modèle conçu et dirigé par Bureau Veritas, dans lequel l'IA amplifie les capacités humaines plutôt que de les remplacer.

Pourquoi le Pentesting renforcé par l'IA ?

À mesure que les architectures applicatives évoluent, les équipes de sécurité sont confrontées à des enjeux que les approches traditionnelles ou basées sur l'IA ne peuvent pas résoudre seules :

1. Difficulté d'évaluation de la qualité du pentesting.

Le pentesting souffre de ce que les économistes appellent un "marché des citrons", où les acheteurs ne peuvent pas distinguer de manière fiable les tests approfondis d'un travail adéquat mais superficiel, qu'il soit traditionnel ou piloté par l'IA. Les labels de qualité valident les organisations et les certifications valident les individus, mais ils ne peuvent pas garantir la créativité, la profondeur et l'exhaustivité d'un pentest individuel.

2. Un pentesting limité dans le temps ne peut jamais être exhaustif

Même les pentesters les plus expérimentés doivent établir des priorités et procéder à un triage : quels sont les domaines qui semblent les plus prometteurs. Il y a tout simplement plus de surface qu'un être humain ne peut explorer dans un laps de temps donné. Il s'agit de jugements professionnels, mais aussi de compromis.

3. L'écart de qualité du pentesting IA

La qualité des outils de Pentesting IA varie considérablement. Certains produisent des résultats non validés ou hallucinés et nécessitent un effort humain important pour être évalués. Sans la supervision d'un expert en sécurité expérimenté, séparer le signal du bruit est presque impossible.

Le Pentesting amplifié par l'IA répond à ces trois enjeux, en toute sécurité, de manière responsable et sous l'égide des experts de Bureau Veritas.

Un modèle hybride conçu par des experts

Le Pentesting renforcé par l'IA intègre deux forces complémentaires. Nos experts dirigent chaque engagement, du cadrage à l'appel à conseil en passant par les tests :

Exploration pilotée par l'IA (échelle)

Alimenté par les agents autonomes de XBOW, le modèle fournit :

- Exploration systématique de milliers de points d'extrémité

- Couverture des flux de travail en plusieurs étapes

- Zéro faux positif grâce à une validation basée sur des preuves

- Une base de référence cohérente pour les classes de vulnérabilités connues

Expertise humaine (jugement)

Avec l'IA qui fournit l'échelle, les pentesters experts de Bureau Veritas apportent un jugement indépendant là où cela compte le plus :

• Tests basés sur le contexte : modélisation des menaces, analyse de la logique métier, abus de workflow, failles d'autorisation et vecteurs d'attaque créatifs qui nécessitent de comprendre votre organisation et la façon dont votre application est utilisée. Nos pentesters identifient ces vulnérabilités et d'autres de manière indépendante.
  
• Enquêter sur les pistes prometteuses : L'engagement de XBOW pour zéro faux positif signifie que chaque découverte signalée est confirmée par un exploit fonctionnel. Les pistes prometteuses qui n'atteignent pas ce seuil de preuve sont étudiées par nos experts, qui les convertissent en résultats confirmés ou les écartent systématiquement.
  
• Rapports exploitables : connexion des constatations en chaînes d'attaques qui démontrent l'impact dans le monde réel, avec une hiérarchisation des risques et des guides de correction dans votre contexte organisationnel.

L'IA ne remplace pas les testeurs humains. C'est l'IA qui renforce l'expertise de Bureau Veritas. Les clients bénéficient de l'échelle et de la vitesse des tests IA combinés à l'expertise, au jugement et à la gouvernance qui définissent l'approche de Bureau Veritas en matière d'assurance.

Pourquoi ce partenariat est important

Bureau Veritas Cybersecurity

"Nos pentesters ont toujours excellé dans le travail qui nécessite un jugement humain : comprendre comment votre application fonctionne, comment vos utilisateurs se comportent, et où les abus du monde réel peuvent se produire. L'IA gère désormais les tests répétitifs au niveau des paramètres à l'échelle, ce qui signifie que nos experts consacrent une plus grande partie de leur temps à ce travail de grande valeur. Ils reprennent les pistes prometteuses que l'IA a signalées mais qu'elle n'a pas pu confirmer ou qu'elle n'a pas pu poursuivre en toute sécurité, et se concentrent sur le jugement, la créativité et la compréhension organisationnelle qui transforment les résultats en impact dans le monde réel. Le temps gagné et le temps mieux utilisé se traduisent par de meilleurs résultats pour nos clients".

- Paul Pols, directeur technique, Bureau Veritas Cybersecurity Europe

Bureau Veritas Cybersecurity

"Ce partenariat nous permet d'offrir à nos clients quelque chose de vraiment nouveau : une plus grande visibilité sur leurs applications, soutenue par une expertise humaine qui fournit des informations pertinentes pour l'entreprise. C'est un moyen orienté vers l'avenir d'accroître l'assurance sans augmenter les coûts".

- Erwin Jansen, Directeur Général, Bureau Veritas Cybersecurity Europe

XBOW

"Nous sommes ravis de travailler avec Bureau Veritas pour mettre à l'échelle les tests de sécurité à travers leur clientèle européenne. L'IA a changé la donne pour les attaquants. Ce partenariat permet aux défenseurs de suivre le rythme."

- Oege de Moor, PDG, XBOW

"Avec XBOW, chaque agent devient un nouveau membre de l'équipe de sécurité. Avec Bureau Veritas, nous aidons davantage d'entreprises à répondre aux exigences de l'ère de l'IA."

- Mike Henroid, responsable GSI et MSSP, XBOW

Principaux avantages pour les organisations .

✔ Échelle sans compromis

L'IA couvre une plus grande partie de la surface d'attaque, ce qui permet à nos experts de se concentrer sur les tests à forte valeur ajoutée.

Chaque découverte validée, chaque piste investiguée

Chaque découverte signalée est accompagnée de preuves. L'IA confirme chaque découverte à l'aide d'un exploit fonctionnel. Nos pentesters enquêtent sur les pistes prometteuses qui n'atteignent pas ce seuil et identifient indépendamment les vulnérabilités grâce à un pentesting contextuel de l'application.

✔ Adoption gouvernée de l'IA en matière de sécurité offensive.

Adoptez l'IA en matière de sécurité offensive grâce à un modèle " human-in-the-lead " avec votre partenaire expert de confiance. Supervision humaine tout au long, portée définie, validation non destructive, journaux d'audit complets et examen de haut niveau selon le principe des quatre yeux. Toutes les données sensibles en matière de sécurité et l'inférence du modèle d'IA stockées et traitées dans l'UE.

À qui s'adresse le Pentesting IA ?

Ce nouveau service est conçu pour les organisations qui

• Exploitent des applications web et des API complexes.
  
• Cherchent à obtenir une plus grande assurance dans le cadre d'un budget fixe
  
• Souhaitent une gouvernance dirigée par des experts pour l'adoption de l'IA.

Pour les périmètres où les tests augmentés par l'IA ne sont pas adaptés, tels que les réseaux internes, OT/IoT, l'infrastructure mobile ou full cloud, Bureau Veritas continue d'offrir des services de pentesting du réseau interne établis et de haute qualité.

En savoir plus ou commencer

Pour découvrir comment le Pentesting IA peut améliorer votre programme de sécurité des applications, Contactez-nous à l'adresse cybersecurity@bureauveritas.com ou visitez notre page de services.

📞 Europe : +31 (0) 88 888 31 00
📞 États-Unis : +1 877 839 7598

Bureau Veritas Cybersecurity × XBOW
Échelle IA. Jugement humain. Résultats assurés.