Audit de code source
Objectif
L’audit de code source d’une application permet de réaliser une analyse en profondeur de son niveau de sécurité en étudiant les pratiques de développement et en recherchant des vulnérabilités au sein de son code source. Démarche complémentaire au test d’intrusion, il offre une plus grande profondeur d’analyse et permet aux auditeurs de formuler des recommandations plus précises.
Notre démarche
Nous proposons une démarche en quatre étapes.
Définition de la cible et du plan d’intervention
Réunion de démarrage et validation du périmètre et modalités d’intervention
Analyse du code source et recherche de vulnérabilités
Livraison du rapport d’expertise et présentation en réunion
Présentation de la cible
La phase initiale est destinée à recueillir les informations relatives à l’application auditée, afin que l’équipe d’audit puisse s’approprier son architecture technique ainsi que les aspects fonctionnels. En fonction des technologies et des langages utilisés, il peut être nécessaire de prendre connaissance de documentation, ainsi que de fichiers de configurations de certains composants.
Très conscients que le code de source de votre application peut constituer un patrimoine informationnel stratégique, voire critique, de votre entreprise et à ce titre nous vous donnerons tous les gages de prudence et de protection des informations transmises (utilisation de chiffrement systématique, destruction sécurisée, etc.)
Déroulement d’un audit de code source
Un audit de code source se déroule habituellement en trois étapes :
- Analyse qualité : les pratiques de développement sont étudiées afin de déterminer si elles sont en adéquation avec l’état de l’art
- Analyse des mécanismes de sécurité : les mécanismes de sécurité sont analysées (authentification, contrôle d’accès, cryptographie, etc.) à la recherche de problèmes de conception ou de biais d’implémentation ou de
- Recherche de vulnérabilité : des mauvaises pratiques de développement sont recherchées au sein de l’ensemble des modules de l’application, afin de déterminer si elles représentent des vulnérabilités exploitables
Au-delà des vulnérabilités, l’audit de code source nous permet de donner un avis d’expert sur la qualité générale et les principes de conception de l’application
Les livrables
A l’issue de l’intervention, plusieurs livrables vous sont remis
Une synthèse de l’audit et une contextualisation des résultats obtenus
Des tableaux de synthèse avec les vulnérabilités identifiées et les actions correctives proposées
Une présentation technique et managériale de la démarche et des résultats