Audit de code source

Objectif

L’audit de code source d’une application permet de réaliser une analyse en profondeur de son niveau de sécurité en étudiant les pratiques de développement et en recherchant des vulnérabilités au sein de son code source. Démarche complémentaire au test d’intrusion, il offre une plus grande profondeur d’analyse et permet aux auditeurs de formuler des recommandations plus précises.

Notre démarche

Nous proposons une démarche en quatre étapes.

Définition de la cible et du plan d’intervention

Réunion de démarrage et validation du périmètre et modalités d’intervention

Analyse du code source et recherche de vulnérabilités

Livraison du rapport d’expertise et présentation en réunion

Présentation de la cible

La phase initiale est destinée à recueillir les informations relatives à l’application auditée, afin que l’équipe d’audit puisse s’approprier son architecture technique ainsi que les aspects fonctionnels. En fonction des technologies et des langages utilisés, il peut être nécessaire de prendre connaissance de documentation, ainsi que de fichiers de configurations de certains composants.

Très conscients que le code de source de votre application peut constituer un patrimoine informationnel stratégique, voire critique, de votre entreprise et à ce titre nous vous donnerons tous les gages de prudence et de protection des informations transmises (utilisation de chiffrement systématique, destruction sécurisée, etc.)

Déroulement d’un audit de code source

Un audit de code source se déroule habituellement en trois étapes :

  • Analyse qualité : les pratiques de développement sont étudiées afin de déterminer si elles sont en adéquation avec l’état de l’art
  • Analyse des mécanismes de sécurité : les mécanismes de sécurité sont analysées (authentification, contrôle d’accès, cryptographie, etc.) à la recherche de problèmes de conception ou de biais d’implémentation ou de
  • Recherche de vulnérabilité : des mauvaises pratiques de développement sont recherchées au sein de l’ensemble des modules de l’application, afin de déterminer si elles représentent des vulnérabilités exploitables

Au-delà des vulnérabilités, l’audit de code source nous permet de donner un avis d’expert sur la qualité générale et les principes de conception de l’application

Les livrables

A l’issue de l’intervention, plusieurs livrables vous sont remis

Une synthèse de l’audit et une contextualisation des résultats obtenus

Des tableaux de synthèse avec les vulnérabilités identifiées et les actions correctives proposées

Une présentation technique et managériale de la démarche et des résultats

Nos références

ROOJAI

Nous travaillons avec ACCEIS depuis plusieurs années sur la sécurité de nos différentes applications et sites web, notamment grâce à l’organisation de tests d’intrusion réguliers. Au fil des années, nous avons pu apprécier leur professionnalisme et leurs compétences techniques en matière de sécurité applicative ce qui nous a permis d’établir une relation de confiance.
ACCEIS nous a toujours proposé des prestations de grande qualité, intervenant avec pertinence, pragmatisme et réactivité tout en faisant preuve d’une grande expertise technique dans leurs travaux d’analyse.

Stéphane Saintilant, DSI de ROOJAI

Test d’intrusion physique

Recherche en sources ouvertes

Test d’intrusion interne

Test d’intrusion du système de domotique

Sécurité des architectures

Société Foncière Lyonnaise

La société foncière lyonnaise est foncière française spécialisée dans le patrimoine immobilier de haute qualité en région parisienne et plus principalement au sein du quartier central des affaires de Paris. Proposant des implantations dans des quartiers stratégiques à ses clients, la société foncière lyonnaise possède des bâtiments hébergeant des clients grands comptes.

Désireux de réaliser un état des lieux de la sécurité de ces bâtiments, la société foncière lyonnaise souhaitait faire évaluer le niveau de sécurité des installations par des experts en cybersécurité et en Immobilier.

ACCEIS est intervenu pour réaliser un test d’intrusion Red Team sur deux bâtiments situés à Paris, dans l’objectif de compromettre le réseau interne, en particulier les éléments de pilotage domotiques. En complément, un audit d’architecture de système d’information a été réalisé.

Besoin d’être accompagné en cybersécurité ?