Audit de code

Notre méthodologie d'audit de code est basée sur les Meilleures Pratiques de développement sécurisé, notre expérience des failles de sécurité applicatives acquise au fil de nombreux audits de sécurité et tests d'intrusion réalisés chaque année ainsi que sur notre activité de CERT.

Notre méthodologie s'appuie sur les Meilleures Pratiques suivantes:

Open Web Application Security Project (OWASP)
Payment Card Industry Data Security Standard (PCI DSS)
Systems Development Life Cycle (SDLC)
Automated Penetration Testing with White-Box Fuzzing (Microsoft)

Les audits de code sont réalisés à partir des relevés de code source et avec la collaboration des développeurs. Ils sont réalisés par des consultants expérimentés et certifiés qui savent mettre en perspective les failles de sécurité, les risques métiers et les risques réels d'intrusion informatique.

Notre méthodologie intègre deux phases d'analyses : l'analyse in vivo et l'analyse statique.

Etape in vivo : L'auditeur analyse les fonctions sensibles du code tout en testant manuellement l'application. Les fonctions sensibles sont les parties du code liées aux traitements et au contrôle des entrées utilisateurs. Les hypothèses de vulnérabilités spécifiques aux aspects fonctionnels et logiques détectés lors des tests seront ainsi approfondies, notamment les failles du mécanisme contrôle d'accès et de restriction des habilitations.

Etape statique : L'auditeur combine une lecture pas-à-pas du code et des outils d'analyse de code afin de détecter l'utilisation de fonctions non sécurisées.

Audit de code

Nos compétences et notre expérience nous permet d'auditer un grand nombre de langage (Java, C, PHP, .NET), du Web 2.0 (AJAX...) et de frameworks :

Frameworks	Socles	CMS
Apache Struts Spring Hibernate ESAPI LOG4J Java Server Face JONAS JQuery RichFaces AMF/Flex Java FX SilverLight JavaBeans	JBoss Tomcat Websphere WebLogic Coldfusion ASP .Net SOAP XML	Ez Publish SPIP Joomla Ruby On Rails Drupal DotClear FCKEditor Typo3 Noheto Django Zend