Audit sécurité informatique

Logo NBS System
Audit sécurité informatique
 

Les failles applicatives sont une des causes majeures de compromission des infrastructures web aujourd’hui. Les applications web ne respectent que trop rarement les règles fondamentales de sécurité et les pirates parviennent fréquemment à identifier et exploiter de multiples failles, comme des XSS ou des injections SQL.

L’audit de sécurité informatique vous permet de vous assurer de l’imperméabilité de votre site aux attaques, en identifiant ces failles pour mieux les corriger.

Qu’est-ce qu’un audit de code source de sécurité informatique ?

L’audit de sécurité repose sur une analyse exhaustive du code source de votre applicatif. En étudiant les lignes de code de votre application, nos experts en sécurité informatique ont pour objectif de vérifier la viabilité du code source sur deux aspects :

Audit technique informatique :

Nos consultants sécurité ont pour but de valider le respect des bonnes pratiques de développement associées à la production de code et ceci en vue des spécificités des langages utilisés. Ils vont ainsi détecter les vulnérabilités les plus évidentes, présentes directement sur l’application, mais aussi – dans une certaine mesure – dans les librairies que celle-ci utilise (lorsque leur code source est disponible).

Audit fonctionnel :

Il s’agit de valider la bonne implémentation des fonctionnalités et le respect des bonnes pratiques associées, indépendantes du ou des langages employés. Ainsi, nos consultants vont également repérer les éventuelles erreurs de logique pouvant entraîner des failles de sécurité.

Cette approche permet de déceler au maximum les vulnérabilités les plus courantes tout en apportant une analyse plus complète qu’un test d’intrusion.

De plus, nous évaluons, dans la mesure du possible, le respect des bonnes pratiques liées à la gestion du code source d’une application et de ses versions, ainsi que la documentation associée qui peut être source de problèmes.

Pourquoi réaliser un audit de code sur votre applicatif ?

L’audit de sécurité est une phase importante lors de la mise en production d’une application, tout particulièrement lorsque le niveau de sensibilité des données traitées est élevé (données à caractère personnel, données bancaires, etc.).

En effet, au-delà de la perte de contrôle d’un ou plusieurs éléments du Système d’Information, une compromission peut avoir d’autres conséquences bien plus graves, telles que la fuite de données personnelles, ou encore une altération de l’image de votre entreprise auprès de vos clients, pouvant engendrer une perte de confiance et de chiffre d’affaires.

Le principal avantage de cet audit de code source est de s’assurer que votre applicatif intègre les bonnes pratiques en matière de sécurité et ne présente pas de risques informatiques qui pourraient entrainer sa compromission dès sa sortie et mise en ligne.

Contactez-nous

 En matière de sécurité informatique NBS System c’est :

21 ans d’expérience
+ de 250 clients en sécurité informatique
Créateur de CerberHost
Créateur de Naxsi

 


Audit de code source : types d’analyses et méthodologie

Les audits de code source peuvent être réalisés de plusieurs manières, et notamment avec ou sans exécution du code.

Dans le cas où le code n’est pas exécuté

Il est question ici d’analyser purement chaque ligne de code de votre applicatif. La plupart du temps nos équipes débuteront l’audit à l’aide d‘un programme automatisé, permettant d’identifier rapidement les principales failles connues. Il est vrai que l’analyse purement humaine de l’ensemble du code est très complète mais aussi très longue (nos experts peuvent auditer une moyenne de 1000 à 1500 lignes de code source /jour en fonction du langage et de la complexité du programme).

Ainsi, après avoir écarté les faux-positif remontés par nos outils automatisés, nos experts pourront plus rapidement se concentrer sur l’analyse des lignes de code pouvant comporter une faille ou un manquement vis à vis des bonnes pratiques.

Dans le cas d’une analyse sur exécution de code

Avec et/ou sans outillage, nos experts vont, dans ce cas précis, étudier non pas les lignes de codes mais principalement le fonctionnement de votre programme. Ils vont ainsi évaluer le comportement de votre application, en faisant passer votre programme par tous ses états possibles afin de tester tous les cas de figure.

Il ne faut cependant pas confondre cet audit avec un test de sécurité web qui peut être réalisé de manière complémentaire.

Qu’est-ce qu’une revue de code ?

Vous souhaitez tester la sécurité de votre site ou application web ? En règle générale, votre application est basée sur un langage (PHP par exemple) qui est la base du Framework ou CMS que vous utilisez (exemple : WordPress, Magento, Symfony, …).

Selon le type d’audit de sécurité que vous souhaitez réaliser, nos équipes sécurité vont commencer par identifier les principaux « pièges » qui surviennent régulièrement dans l’utilisation de votre Framework.

Si des « customisations » ont été apportées au cœur du Framework, il conviendra de se baser sur un différentiel entre la version de base et les fichiers modifiés afin de ne pas avoir à passer en revue la totalité du code source (dont l’étendue rendrait l’exercice contre-productif). Par ailleurs, ces revues devront être effectuées sur chaque module « maison » qui compose votre applicatif, de manière à pouvoir couvrir le périmètre le plus étendu possible.

A l’issue de l’audit informatique, nos experts sécurité délivrent un rapport complet des vulnérabilités recensées, et proposent des actions permettant de corriger les vulnérabilités trouvées.

Quand mettre en place une revue de code source ?

Idéalement, un audit de sécurité informatique devrait être réalisé avant la finalisation d’un projet informatique, autrement dit lors de la phase de recettage. La recette étant l’ultime étape permettant de valider le code livré par les développeurs préalablement au déploiement final, c’est donc la dernière opportunité de corriger de potentielles vulnérabilités. Nos experts peuvent alors vous accompagner dans les correctifs à apporter à votre application avant que celle-ci ne soit mise en ligne, ce qui réduira fortement vos risques de compromission.

Si votre applicatif est déjà en ligne, vous pouvez mettre en place une revue de code à n’importe quel moment de son cycle de vie. Ce type d’audit informatique est souvent présent dans les démarches d’amélioration continue.

Si vous avez été victime d’un acte de malveillance, d’une fraude ou d’une attaque informatique, une autre forme d’audit du Système d’Information est possible : l’enquête Forensic. Cet audit sécurité informatique consiste à collecter, agréger et analyser les preuves informatiques dans le but de déterminer avec précision le mode opératoire utilisé par l’acteur malveillant et d’identifier les actions que ce dernier a pu mener sur la machine compromise.

Qui réalise l’audit de sécurité informatique ?

L’audit peut être effectué en interne si vous avez, au sein de vos équipes, du personnel ayant les compétences nécessaires. Cependant, dans le cas d’un audit complet de code source, la connaissance de l’application par une personne interne peut mener à des erreurs de jugement. Lorsqu’un prestataire externe effectue ce type de mission, il testera méthodiquement l’application, se basant sur son expérience et l’hétérogénéité des environnements qu’il a pu rencontrer par le passé, aboutissant ainsi à des résultats plus exhaustifs et pertinents.

Notre cellule sécurité est actuellement composée de 10 experts. Ces derniers composent deux équipes :

  • Certains profils sont dédiés à des projets de recherche et d’innovation, afin de toujours être à la pointe des techniques et découvertes en matière de sécurité, mais aussi de fournir à la société et à la communauté notre expertise dans des projets open source tels que NAXSi, PHP malware finder, Snuffleupagus, et de nombreux autres projets.
  • L’autre équipe est dédiée aux audits et tests d’intrusions réalisés pour le compte de nos clients.

Par ailleurs, chaque membre de la Cellule Sécurité au complet est affecté de manière tournante et aléatoire à la fonction de SecOps. Ce rôle ponctuel et régulier permet également à nos experts d’avoir des missions opérationnelles variées et de rester proche de la réalité de nos clients.

Audit informatique : où doit-il être réalisé ?

La plupart du temps nos experts effectuent leur mission de revue de code depuis nos locaux. La présence de nos équipes dans vos locaux n’apporte aucune valeur ajoutée à la mission d’audit.

Déontologie & éthique chez NBS System

Aucune donnée (récoltée lors du test) de votre réseau informatique n’est sauvegardée côté NBS System. Les vulnérabilités identifiées lors de l’audit de code source ne seront JAMAIS (re)exploitées en dehors du contexte de ces tests. L’ensemble des informations récoltées lors de l’audit vous sera restitué à la fin de ce dernier. Le rapport qui vous sera fourni au terme de l’audit de code source est strictement confidentiel. Il n’est bien sûr pas partagé avec d’autres parties, et même en interne chez NBS System, seule l’équipe Sécurité y a accès.

Pour plus d’information, contactez notre service commercial