Sécurité Applicative – Audit de Code
Pourquoi la sécurité applicative ?
De plus en plus de données sensibles sont gérées par ou via des applications Web qui tiennent une part très importante dans les activités et les processus quotidiens d’une entreprise. Les applications modernes sont conçues avec des architectures de plus en plus sophistiquées. Cette complexification multiplie les vulnérabilités alors que la sécurité n’est pas prise en compte dés la conception (security-by-design).
L’audit applicatif consiste en une analyse exhaustive du code source et de la logique applicative dans l’objectif de révéler les vulnérabilités potentielles : droits d’accès, usurpation d’identité, mots de passe, fonctions sensibles, formulaires, sessions, injection de code, protection des données…
Pourquoi nous confier vos audits de sécurité applicative ?
Les outils d’analyse statique de code source brut ou compilé permettent de découvrir des failles de sécurité dans l’application. L’analyse automatisée permet de détecter avec efficacité certains types de vulnérabilités telles que les injections SQL, les dépassements de tampon … Cependant, ces outils montrent leurs limites face à des vulnérabilités liées à l’authentification, au contrôle d’accès, à la cryptographie, à la configuration d’une application.
Les résultats fournis par une analyse automatique présentent souvent un grand nombre de faux positifs. Ils doivent être examinés et appréciés par des experts par une analyse manuelle pour une exhaustivité de la revue de code. La maîtrise de plusieurs technologies nous profère la capacité de réaliser différents types d’audits de sécurité applicatifs :
- Audit sécurité Web Apps (Java, PHP, .NET, JS …)
- Audit sécurité Mobile Apps (Android, iOS)
- Audit sécurité API (Ajax, REST ..)
- Audit sécurité Base de Données (Oracle, MS Server, MySQL, …)
Ces audits sont conduits en conformité avec les guides de bonnes pratiques de l’OWASP.