Audit de code

Accueil » Cyber Offensive » Audit de code
0
8.6
%

Dévaluation moyenne d’une entreprise ayant des failles de sécurité
Source : Comparitech

0
10573

Applications malicieuses bloquées chaque jour
Source : Symantec

0
5200

Nombre d’attaques Cyber subies chaque mois par les IoT
Source : Symantec

Les applications au centre des process critiques

Les process des entreprises reposent essentiellement sur l’exploitation des applications développées par leurs équipes internes ou par des prestataires externes. Généralement exposées vers l’externe, ou portant sur des process critiques, elles deviennent des vecteurs d’attaque pour les hackers. Les principales causes de cette défaillance sécuritaire sont:

  • Le non respect des bonnes pratiques sécuritaires lors du développement de ces applications ;
  • L’insuffisance des tests de sécurité avant la mise en production ;
  • L’absence d’un processus d’homologation des applications.

La revue de code vise à identifier les failles de sécurité de l’application liées à ses fonctionnalités et à sa conception et à sa méthode de développement.

Avec la complexité croissante des applications et la généralisation de la méthode agile (ex: méthode DevOps), la méthode de test traditionnelle peut ne pas détecter toutes les failles de sécurité présentes dans les applications. Il est nécessaire d’analyser le code de l’application, les composants externes (Librairie, API, outils d’authentification,..) et les configurations.

Plus de 300 000 utilisateurs Android ont téléchargé une application bancaire contenant un virus de type Trojan.

Source : Threat Fabric

Eviter le Cheval de Troie

Le processus d’audit du code source d’une application permet de vérifier que les fonctionnalités de  sécurité et la méthode de contrôle sont présents dans le code, qu’ils fonctionnent comme prévu et qu’ils ont été invoqués aux bons endroits.

La démarche d’audit code source adoptée par humanOne est comme suivant:

  • Comprendre le contexte de l’application et cadrer le périmètre ;
  • Collecter les fichiers sources et analyser leur structuration ;
  • Echantillonner les fichiers et les fonctions du code à auditer ;
  • Effectuer l’analyse statique automatisée via des outils dédiés ;
  • Procéder à l’analyse statique manuelle sur les éléments critiques ;
  • Envisager une analyse dynamique (mise en évidence des failles) ;
  • Documenter les constats et recommandations.

L’audit de code se fait selon les bonnes pratiques OWASP, MITRE, CSA (Cloud Security Alliance), etc…

Autres services de Cyberoffensive

Besoin de conseil pour vous accompagner dans votre démarche?
Nous contacter