Audit de code source

Évaluer le niveau de sécurité !

En quoi consiste l'audit de code source ?

Compétences cybersécurité

Dans ses recommandations et guides à caractère général, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) recommande de faire réaliser des audits de sécurité périodiques.

En effet, dans le guide d’hygiène informatique , l’ANSSI précise que l’audit est le seul moyen de constater concrètement l’efficacité de mesures mises en œuvre sur le terrain. Cette affirmation concerne aussi bien la notion d’audit organisationnel que d’audit technique.

L’audit de sécurité de codes fait partie de l’ensemble des audits de sécurité qui permettent d’évaluer le niveau de sécurité d’un ou plusieurs composants d’un système d’information. La revue du code source est ainsi une étape primordiale qui permet d’identifier les implémentations ciblées par l’analyse et d’en évaluer la conformité.

L’objectif principal est d’évaluer la sûreté de programmation du code afin de s’assurer que les règles de bonnes pratiques en terme de spécification et de conception ont été respectées :

Utilisation de conventions de nommage cohérentes afin que le programmeur comprenne facilement le rôle de chaque fonction et paramètre (maintenance et maintenabilité) ;

Niveau d'opacité des informations (aucune divulgation d’informations sensibles) ;

Facilité d'utilisation (contrôle du séquençage des opérations).

Pour les revues de code source, la méthodologie Synetis propose un découpage en deux étapes :

L’objectif de l’analyse des échantillons de code consiste à :

L’auditeur est susceptible d’identifier des vulnérabilités exploitables dans le code. Les vulnérabilités identifiées sont alors qualifiées en suivant la méthode CVSSv3. Dans le cas où des vulnérabilités sont identifiées, Synetis propose de vérifier leur exploitabilité par le biais de tests d’intrusion.

Nous couvrons les langages suivants :

Notre méthode repose sur une analyse statique du code via une approche dite « boîte blanche ». L’utilisation de plusieurs techniques d’analyse de code automatisés combinées avec une revue manuelle sont réalisées, tout en confrontant les observations aux référentiels de bonnes pratiques de développement de l’OWASP et de Synetis.

Les vulnérabilités détectées lors de nos audits de code source peuvent porter sur l’absence de filtrage des données entrantes ou sortantes, l’absence de protection de données sensibles échangées, une mauvaise gestion des erreurs qui peut introduire l’exposition de données sensibles, un code non maintenable, etc.

Protection et surveillance des si

Nos experts Audit
répondent à vos questions