Audit de code source

Objectif

L’audit de code source d’une application permet de réaliser une analyse en profondeur de son niveau de sécurité en étudiant les pratiques de développement et en recherchant des vulnérabilités au sein de son code source. Démarche complémentaire au test d’intrusion, il offre une plus grande profondeur d’analyse et permet aux auditeurs de formuler des recommandations plus précises.

Notre démarche

Nous proposons une démarche en quatre étapes.

Définition de la cible et du plan d’intervention

Réunion de démarrage et validation du périmètre et modalités d’intervention

Analyse du code source et recherche de vulnérabilités

Livraison du rapport d’expertise et présentation en réunion

Présentation de la cible

La phase initiale est destinée à recueillir les informations relatives à l’application auditée, afin que l’équipe d’audit puisse s’approprier son architecture technique ainsi que les aspects fonctionnels. En fonction des technologies et des langages utilisés, il peut être nécessaire de prendre connaissance de documentation, ainsi que de fichiers de configurations de certains composants.

Très conscients que le code de source de votre application peut constituer un patrimoine informationnel stratégique, voire critique, de votre entreprise et à ce titre nous vous donnerons tous les gages de prudence et de protection des informations transmises (utilisation de chiffrement systématique, destruction sécurisée, etc.)

Déroulement d’un audit de code source

Un audit de code source se déroule habituellement en trois étapes :

  • Analyse qualité : les pratiques de développement sont étudiées afin de déterminer si elles sont en adéquation avec l’état de l’art
  • Analyse des mécanismes de sécurité : les mécanismes de sécurité sont analysées (authentification, contrôle d’accès, cryptographie, etc.) à la recherche de problèmes de conception ou de biais d’implémentation ou de
  • Recherche de vulnérabilité : des mauvaises pratiques de développement sont recherchées au sein de l’ensemble des modules de l’application, afin de déterminer si elles représentent des vulnérabilités exploitables

Au-delà des vulnérabilités, l’audit de code source nous permet de donner un avis d’expert sur la qualité générale et les principes de conception de l’application

Les livrables

A l’issue de l’intervention, plusieurs livrables vous sont remis

Une synthèse de l’audit et une contextualisation des résultats obtenus

Des tableaux de synthèse avec les vulnérabilités identifiées et les actions correctives proposées

Une présentation technique et managériale de la démarche et des résultats

Nos références

FAMILEO

Soucieux de la sécurité de notre site, nous avons réalisé un audit de notre code et de notre hébergement.
L’audit de sécurité a été réalisé dans les temps et avec sérieux.
La prestation nous a permis d’optimiser encore plus la sécurité de notre solution.
Nous renouvellerons régulièrement l’intervention avec ACCEIS pour valider notre niveau de sécurité.

Dylan SALMON, CTO de FAMILEO

Besoin d’être accompagné en cybersécurité ?