Application Protection
Notre vision à 360° de la sécurité applicative se traduit par un accompagnement tout au long du cycle de développement.
De l’audit technique des applications à la formation des équipes, en passant par la validation des exigences de sécurité et des architectures logicielles, Orange Cyberdefense propose différentes solutions :
une évaluation de la maturité des développements en matière de sécurité ;
l’intégration de la sécurité applicative dans les projets ;
des audits et un suivi de la sécurité des applications ;
l’industrialisation des actions de contrôle et de sécurisation ;
l’intégration des standards de sécurité dans les contrats ;
la sensibilisation et la formation des collaborateurs.
Pierre angulaire de nos activités de sécurité applicative, l’audit de code permet d’analyser en profondeur le niveau de sécurité d’une application. Cette méthodologie est recommandée en particulier pour les applications sensibles, ou ayant déjà atteint un certain de degré de maturité, par exemple après plusieurs campagnes de tests d’intrusion.
L’audit de code est une pratique consistant à analyser de manière statique le code source d’une application, de façon à évaluer les mécanismes de sécurité qui y sont mis en place. Cette analyse se fait par le biais de la lecture du code de cette application, permettant ainsi d’y détecter de potentielles failles exploitables par un attaquant.
A la différence d’une analyse de code automatisée par un outil spécialisé, l’audit de code manuel est réalisé par un expert en sécurité applicative, ce qui permet d’empêcher la remontée de vulnérabilités non exploitables (faux-positifs), ainsi que l’identification des problématiques liées à la logique de fonctionnement, aux fonctionnalités métier ou à la gestion des droits et privilèges des utilisateurs.
Cadrage et lancement
Une réunion permet de définir avec les responsables du projet le périmètre, le déroulement et les contraintes de la mission en formalisant les objectifs et la stratégie retenue. L’intégralité du code source de l’application cible est transmise à Orange Cyberdefense pour analyse.
Réalisation de l’audit
L’équipe d’audit analyse de manière statique le code source de l’application de façon à évaluer les mécanismes de sécurité qui y sont mis en place. La mise en évidence de vulnérabilités permet la mise en place d’un plan d’action approprié.
Restitution des résultats
L’équipe d’audit présente une synthèse de l’ensemble des travaux effectués durant la prestation, en termes non techniques et/ou en explicitant les détails techniques relevés, en fonction du public participant à la réunion.
A noter : En fonction du degré de sensibilité du périmètre, un accord de confidentialité est signé par les auditeurs et un procès-verbal est remis en fin d’audit pour attester que toutes les copies du code source ont été détruites.
Nous livrons un rapport d’audit détaillé comprenant :
une synthèse rédigée en termes non techniques accompagnée d’indicateurs clairs sur les risques de sécurité identifiés ;
une évaluation du niveau de sécurité de l’application avec les principaux points forts et axes d’amélioration constatés ;
un plan d’action priorisé reprenant les recommandations les plus importantes ;
le détail technique des vulnérabilités identifiées, accompagnées de recommandations précises permettant leur correction.
Nos consultants en sécurité applicative sont avant tout des pentesters (ethical hackers) qui ont acquis au cours de leur expérience des compétences en audit de code.
Localisés à Lyon, Rennes et Paris-La Défense, les experts en sécurité applicative d’Orange Cyberdefense sont en mesure d’intervenir sur des applications développées avec les langages et frameworks usuels : C/C++, Java, .NET, PHP, Python, Javascript, Ruby…
Le WAF en mode intégré
Nos experts vous accompagnent dans le choix et l’implémentation de la solution qui convient le mieux à vos attentes. Notre méthode :
analyse de vos besoins ;
ingénierie ;
préparation de l’installation et mise en production ;
configuration et contrôle des équipements ;
installation sur site ;
recette.
Le WAF en service managé
Web Application Guardian protège les applications Internet et les sites web contre les attaques HTTP ou HTTPS comme le cross site scripting, les injections SQL ou encore le trafic généré par des robots malveillants. Notre solution supprime ainsi tout le trafic illégitime ou malveillant avant qu’il n’atteigne le site ou l’application web.