Wargan Solutions: Audits de sécurité informatique.

Audits de sécurité

Audit de code Audit de sécurité Veille en vulnérabilités

 

Audit de code

L’audit de code est le corollaire du test d’intrusion applicatif car il permet d'approfondir efficacement ce dernier. Dans le cas d’un site internet sur lequel un test d'intrusion a été réalisé, l’audit de code permettra de mieux comprendre les mauvais cheminements, de proposer des patchs plus précis, mais aussi d’évaluer la sécurité globale de l’application, chose impossible lorsque nous nous plaçons uniquement dans la peau d’un attaquant.

Ceci dit, il est important de préciser que le test applicatif se suffit à lui même pour auditer une application. Néanmoins, l’audit de code permet de relever des failles qui, bien que légèrement moins utilisées, sont tout aussi dangereuses. L’audit de code est donc un outil complémentaire au test applicatif, et vous offre une sécurité accrue.

Audit de sécurité

L’audit de sécurité se différencie du test d'intrusion interne dans la mesure où le client nous fournit les politiques de sécurité en place à auditer: nous ne sommes pas dans une démarche de détection des failles volontairement invasive, basée sur une application, comme lors d’un test d’intrusion, mais bien dans une perspective de contrôle et de vérification de votre système global. Nous évaluons donc (au choix et non exhaustif):

  • La politique de sécurité globale
  • La politique d'accès aux données
  • Les configurations réseau (Firewall, HIDS, NIDS, WAFs)
  • Les mises à jours des services
  • Les mises à jour des systèmes d'exploitation (et la politique de mise à jour du parc)
  • La politique de sauvegarde et de stockage
  • ...

L'audit de sécurité est à envisager comme une validation externe de la politique de RSSI, elle englobe les risques et la connaissance des problématiques propres à votre métier; alors que le test d'intrusion évalue majoritairement les failles laissées par les développeurs de programmes. L'audit de sécurité permet également d'enrayer l'intrusion au plus tôt grâce à la mise en place de contre-mesures proposées lors de notre rapport d'audit.

Veille en vulnérabilités

Si votre structure ne possède pas de pôle informatique dédié, ou si ce pôle informatique ne peut réaliser de veille informatique très performante (particulièrement chronophage), nous vous proposons un service qui vous permettra d’être tenu au courant en cas de découverte de failles. Concrètement, vous accédez à l’interface, choisissez vos produits, technologies, langages et services que vous voulez voir auditer, et dès lors qu’une faille est découverte sur l’un de ces vecteurs d’intrusions, notre système vous alerte et vous propose un correctif de faille. Ce service de veille intègre en son sein les découvertes de nos chercheurs en sécurité.

Nous effectuons également des audits de code en interne sur les solutions les plus répandues au monde, que ce soit dans l'applicatif web (statistiques, forums, blogs, ecommerce, etc…) ou systeme (WAFs, drivers, services, etc) afin d’intégrer dans notre outil de veille les failles découvertes par nos chercheurs.