Application Protection

Notre vision à 360° de la sécurité applicative se traduit par un accompagnement tout au long du cycle de développement.
  1. Solutions
  2. Application Protection

Découvrez les solutions d’Orange Cyberdefense pour protéger les applications.

Implémenter une vision à 360° de la sécurité des développements

De l’audit technique des applications à la formation des équipes, en passant par la validation des exigences de sécurité et des architectures logicielles, Orange Cyberdense propose différentes solutions :

  • une évaluation de la maturité des développements en matière de sécurité ;
  • l’intégration de la sécurité applicative dans les projets ;
  • des audits et un suivi de la sécurité des applications ;
  • l’industrialisation des actions de contrôle et de sécurisation ;
  • l’intégration des standards de sécurité dans les contrats ;
  • la sensibilisation et la formation des collaborateurs.

L'audit de code manuel

Pierre angulaire de nos activités de sécurité applicative, l’audit de code permet d’analyser en profondeur le niveau de sécurité d’une application. Cette méthodologie est recommandée en particulier pour les applications sensibles, ou ayant déjà atteint un certain de degré de maturité, par exemple après plusieurs campagnes de tests d’intrusion.

L’audit de code est une pratique consistant à analyser de manière statique le code source d’une application, de façon à évaluer les mécanismes de sécurité qui y sont mis en place. Cette analyse se fait par le biais de la lecture du code de cette application, permettant ainsi d’y détecter de potentielles failles exploitables par un attaquant.

A la différence d’une analyse de code automatisée par un outil spécialisé, l’audit de code manuel est réalisé par un expert en sécurité applicative, ce qui permet d’empêcher la remontée de vulnérabilités non exploitables (faux-positifs), ainsi que l’identification des problématiques liées à la logique de fonctionnement, aux fonctionnalités métier ou à la gestion des droits et privilèges des utilisateurs.

La démarche Orange Cyberdefense

  • Cadrage et lancement

Une réunion permet de définir avec les responsables du projet le périmètre, le déroulement et les contraintes de la mission en formalisant les objectifs et la stratégie retenue. L’intégralité du code source de l’application cible est transmise à Orange Cyberdefense pour analyse.

  • Réalisation de l’audit

L’équipe d’audit analyse de manière statique le code source de l’application de façon à évaluer les mécanismes de sécurité qui y sont mis en place. La mise en évidence de vulnérabilités permet la mise en place d’un plan d’action approprié.

  • Restitution des résultats

L’équipe d’audit présente une synthèse de l’ensemble des travaux effectués durant la prestation, en termes non techniques et/ou en explicitant les détails techniques relevés, en fonction du public participant à la réunion.

A noter : En fonction du degré de sensibilité du périmètre, un accord de confidentialité est signé par les auditeurs et un procès-verbal est remis en fin d’audit pour attester que toutes les copies du code source ont été détruites.

Ce que nous livrons à nos clients 

Nous livrons un rapport d’audit détaillé comprenant :

  • une synthèse rédigée en termes non techniques accompagnée d’indicateurs clairs sur les risques de sécurité identifiés ;
  • une évaluation du niveau de sécurité de l’application avec les principaux points forts et axes d’amélioration constatés ;
  • un plan d’action priorisé reprenant les recommandations les plus importantes ;
  • le détail technique des vulnérabilités identifiées, accompagnées de recommandations précises permettant leur correction.

Qui sont nos experts en audit de code ?

Nos consultants en sécurité applicative sont avant tout des pentesters (ethical hackers) qui ont acquis au cours de leur expérience des compétences en audit de code.

Localisés à Lyon, Rennes et Paris-La Défense, les experts en sécurité applicative d’Orange Cyberdefense sont en mesure d’intervenir sur des applications développées avec les langages et frameworks usuels : C/C++, Java, .NET, PHP, Python, Javascript, Ruby…

Sécuriser les applications grâce aux web application firewall

Le WAF en mode intégré

Nos experts vous accompagnent dans le choix et l’implémentation de la solution qui convient le mieux à vos attentes. Notre méthode :

  • analyse de vos besoins ;
  • ingénierie ;
  • préparation de l’installation et mise en production ;
  • configuration et contrôle des équipements ;
  • installation sur site ;
  • recette.

Le WAF en service managé

Web Application Guardian protège les applications Internet et les sites web contre les attaques HTTP ou HTTPS comme le cross site scripting, les injections SQL ou encore le trafic généré par des robots malveillants. Notre solution supprime ainsi tout le trafic illégitime ou malveillant avant qu’il n’atteigne le site ou l’application web.

Découvrir Web Application Guardian