Audit de code source

 

Nos auditeurs analysent tout ou partie du code source audité (ou ses conditions de compilation ou d’exécution) dans le but d’y découvrir des vulnérabilités liées à de mauvaises pratiques de programmation ou à des erreurs de logique.

 

L'audit de code source se déroule de la manière suivante :

  1. Une première étude permet de définir l'architecture du code audité et d'en relever les portions critiques
  2. Une analyse automatisée est menée sur l'ensemble du code afin de faire remonter les problèmes de sécurité les plus évidents
  3. Une analyse manuelle est réalisée sur les portions critiques précédemment établies (exemples : authentification, accès données sensibles, actions d'administration).
  4. Dans le cas où le code fourni est fonctionnel, une analyse dynamique est effectuée. Elle permet de tester la robustesse de l'application en envoyant des données qui ne sont pas prévues par les fonctions.
  5. Chaque faiblesse découverte fait l'objet d'une recommandation spécifique aux codes fournis avec un exemple de mise en œuvre.

 

Audit de configuration

Nous analysons les configurations des dispositifs matériels et logiciels déployés dans le système d’information audité. Ces dispositifs peuvent notamment être des équipements réseau, des systèmes d’exploitation serveur ou client, des applications ou des produits de sécurité. Notre objectif est d’analyser la mise en œuvre technique des bonnes pratiques de sécurité afin de vérifier si elles sont conformes à l’état de l’art, aux contraintes réglementaires et légales, et aux exigences et règles internes de l’audité.

Audit d'architecture

L’objectif d’un audit d’architecture est de rechercher des faiblesses dans la conception, dans le choix des protocoles utilisés ou du non-respect de pratiques recommandées en termes de sécurité. Un audit d’architecture est basé sur une analyse documentaire au suivi d’éventuels entretiens avec les personnes en charge de la conception, de la mise en œuvre, de l’administration, de la supervision et du maintien en condition opérationnelle du système d’information cible.

 

En outre, des analyses complémentaires peuvent être menées sur des échantillons de configuration réseau (ex : commutateurs, pare-feu) afin de compléter cet audit.

Pendant la réalisation d’un tel audit, les aspects suivants sont notamment contrôlés (liste non-exhaustive) :

 

  • Défense périmétrique
  • Défense en profondeur
  • Cloisonnement
  • Rupture protocolaire
  • Gestion des flux
  • Politiques de MCO/MCS, de sauvegarde, de journalisation
  • Plan de reprise d'activité

 

La méthodologie est entre autres guidée par les différents guides et recommandations techniques de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). En tout point de l’infrastructure, l’attention des auditeurs BlueStone est portée sur la couverture des besoins de la Sécurité des Systèmes d’Information (SSI), à savoir : Disponibilité, Intégrité, Confidentialité et Traçabilité.

La réponse aux besoins DICT est apportée à la lueur de principes généraux de la SSI (par exemple, le principe de moindre privilège, de défense en profondeur) ainsi qu’au travers de l’application de guides et référentiels (notamment le Référentiel Général de Sécurité de l’ANSSI). Les éventuelles contraintes opérationnelles et autres besoins métiers dans l’application de ces guides et les recommandations qui y sont associées sont pris en compte par les auditeurs BlueStone.