Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Sécurité des applications web
  3. Les prestations en entreprise
Extrait - Sécurité des applications web Stratégies offensives et défensives
Extraits du livre
Sécurité des applications web Stratégies offensives et défensives Revenir à la page d'achat du livre

Les prestations en entreprise

L’audit d’architecture

L’audit d’architecture est une prestation permettant de rechercher des faiblesses dans la conception d’un système. Cette analyse peut être effectuée sur des systèmes d’information (SI), mais également sur des applications web, surtout quand elles apportent une valeur forte pour l’entreprise.

L’audit se base principalement sur une analyse documentaire. Plus les documents rédigés dans les premières phases du développement de l’application seront complets et clairs, plus l’audit aura de la valeur. Les auditeurs peuvent également demander des entretiens avec certaines personnes clés du projet, les architectes par exemple, mais aussi des personnes en charge de l’administration ou de la supervision de l’application. L’analyse peut se faire tant sur le plan technique : analyse des composants, des protocoles utilisés, du stockage des données, des protections mises en place, de la pertinence des différents flux, que d’un point de vue performance. Il est possible d’examiner la capacité à l’application d’évoluer en cas de succès dépassant les prévisions initiales. En fonction de la maturité du projet, la prestation peut inclure l’analyse de code, non pas centrée sur la sécurité mais axée...

L’audit de sécurité de code source

Un audit sécurité de code source est une analyse approfondie du code informatique qui compose l’application afin d’évaluer sa sécurité. La priorité est donnée à la détection des vulnérabilités, et principalement celles présentes dans les différentes versions du référentiel Top Ten OWASP. Il n’est pas rare que l’équipe de prestation en charge de cette analyse s’appuie sur des résultats de scan automatique de type SAST, mais la plus-value provient bien de l’analyse manuelle. Une telle analyse nécessite qu’une personne extérieure à l’entreprise ait accès au code source développé. Cette exigence peut représenter un obstacle en raison des préoccupations liées à la confidentialité du code.

L’analyse de code manuelle est une tâche longue, fastidieuse et nécessite une expertise fine. L’auditeur doit être à l’aise sur les technologies, frameworks et langages de développement utilisés pour le développement de l’application. Plus le code est propre, meilleurs sont les résultats. Un audit peut s’effectuer seulement sur une portion de code de l’application, cela permet de réduire le coût...

L’audit de configuration

L’audit de configuration, dans le contexte d’une évaluation d’une application web, vise à analyser la manière dont les composants logiciels, matériels et réseaux sont configurés ; il est assez rare d’effectuer un audit de configuration seulement sur le serveur web mais plutôt sur l’infrastructure dans son ensemble. Une mauvaise configuration d’un ou de plusieurs composants peut tout autant mettre à mal l’application (et l’entreprise) qu’une vulnérabilité logicielle telle qu’une injection SQL. Par exemple, l’analyse d’un système de base de données peut concerner les points suivants :

  • La base de données n’est accessible qu’aux entités minimales nécessaires, cela peut se faire par exemple par un filtrage IP.

  • La version du système de base de données est à jour et ne possède pas de vulnérabilité connue.

  • Les différents comptes de service (y compris le compte administrateur) possèdent des mots de passe forts : ce point ne sera pas forcément facile à auditer, et sera plutôt indiqué comme une recommandation que l’équipe doit respecter.

  • Les comptes et services non utilisés et/ou par défaut sont correctement désactivés (comptes...

Le test d’intrusion

Le test d’intrusion, ou pentest pour penetration testing, est sans doute la prestation la plus connue et la plus répandue. Cela se déroule de façon dynamique en accédant directement à l’application ciblée, qui doit donc être fonctionnelle. Les auditeurs utilisent les mêmes techniques de détection que de réels attaquants, mais en omettant les phases de compromission et de maintien d’accès. Détecter une injection SQL est suffisant pour la faire apparaître dans le rapport, rien ne sert d’extraire toutes les informations de la base de données, voire d’installer une porte dérobée, pour s’en assurer.

Il existe trois types de test d’intrusion :

  • Boîte noire (Black Box Testing) : le modèle de boîte noire ressemble le plus à une approche réaliste. L’auditeur n’a aucune connaissance préalable du système. Lorsque l’entreprise souhaite ce type d’audit, il est nécessaire de laisser un peu plus de temps à l’auditeur que d’accoutumé. En effet, devant tout d’abord découvrir le fonctionnement de l’application, il est normal que la phase de reconnaissance soit plus conséquente. Ce type de test présente, par contre, l’inconvénient d’être peu efficace...

Le programme de bug bounty

Les premiers programmes de bug bounty (primes aux bogues) sont apparus dans les années 1990 aux États-Unis, mais ont explosé ces dernières années. De nombreuses plateformes permettant de mettre des chasseurs de bogues et des entreprises en relation ont vu le jour : YesWeHack, HackerOne, Bugcrowd, pour ne citer que les plus connues. Rien n’empêche une entreprise d’autohéberger et d’autogérer un tel programme, mais cela est assez complexe pour une structure de petite ou moyenne taille.

L’objectif d’un tel programme va être de demander à la communauté d’identifier les vulnérabilités présentes sur l’application en échange d’une rémunération. Plusieurs avantages découlent de la mise en place d’un tel chantier :

  • Les chasseurs possèdent tous des capacités et des compétences variées. Cela va permettre de tirer parti de l’expertise de toute la communauté s’intéressant au programme en ayant des angles d’attaques différents.

  • La chasse aux bogues s’inscrit dans une démarche éthique. Les chasseurs sont tenus de respecter un ensemble de règles, notamment celles de ne pas divulguer d’information sur une vulnérabilité sans l’accord de l’entreprise.

  • L’entreprise...

La certification PASSI

La certification PASSI (prestataire d’audit de la sécurité des systèmes d’information) est une certification délivrée en France par l’ANSSI. Elle atteste que le prestataire possède bien les compétences et l’expertise pour réaliser des audits techniques.

Les activités visées par le référentiel sont les suivantes : 

  • audit d’architecture ;

  • audit de configuration ;

  • audit de code source ;

  • tests d’intrusion ;

  • audit organisationnel et physique ;

  • audit de systèmes industriels.

Il n’est pas simple de dénicher un prestataire digne de confiance. Opter pour un professionnel détenteur de la certification PASSI peut constituer un critère de sélection, qui peut avoir le mérite de rassurer les clients de l’entreprise quant à la qualité des audits réalisés. L’ANSSI met à disposition la liste des prestataires certifiés, consultable à l’adresse suivante : https://cyber.gouv.fr/produits-services-qualifies.