Un Audit de Sécurité, pour quoi faire ? L'Audit Flash Sécurité Audit de Sécurité Web

A qui s’adresse l’Audit de sécurité Web ?
A toutes les entreprises qui exploitent un site Web transactionnel, c'est-à-dire un site s’appuyant sur des bases de données. Il peut s’agir bien sûr d’un site marchand, avec ou sans transactions financières, mais aussi d’un extranet, d’un site d’échange avec les clients ou fournisseurs.

Pour les entreprises récentes dont le modèle repose sur Internet, la cause est entendue : tout dysfonctionnement ou atteinte à l’intégrité du site Web peut entacher la crédibilité de l’entreprise, voire compromettre son activité.

Mais il en est de même pour les entreprises traditionnelles. En effet, le niveau de fréquentation de leurs sites, souvent marginal au départ, devient au fil des années considérable, jusqu’à représenter parfois plus une part très significatif de l’activité de l’entreprise et le moteur de son développement.

Pour garantir un niveau de sécurité satisfaisant, un audit doit être effectué périodiquement, ou à chaque modification majeure du site.
Parallèlement, des tests de vulnérabilité doivent être menés très régulièrement.

Quels sont les risques ?
Les risques principaux sont :

• la fraude et le détournement de montants financiers
• le vol, la destruction ou la corruption de données sensibles
• la divulgation d’informations confidentielles
• l’indisponibilité ponctuelle ou du site Web
• mais aussi la compromission du poste de l’internaute, qui pourra se retourner contre l’entreprise qui exploite le serveur.

De nombreux types d’attaques peuvent mener à la matérialisation de ces risques, notamment l’injection SQL, le Cross Site Scripting (CSS ou XSS), le buffer overflow, etc… Bien évidemment ces attaques sont bien documentées sur Internet, ce qui provoque de nombreuses vocations !

Comment se déroule l’audit ?
En général, il est bon de démarrer un audit par des tests intrusifs, qui permettent d’avoir une évaluation d’ensemble dans un délai et un budget raisonnables. Par la suite, et en fonction du contexte, il peut être également pertinent de réaliser un audit de configuration (Expertise de l’architecture déployée et la conformité des éléments qui la composent) voire un audit de code (Analyse du code source afin de détecter la présence de vulnérabilités).

Les tests intrusifs
Notre démarche consiste à travailler « en aveugle », c'est-à-dire à se placer dans les conditions d’un internaute hostile sans accréditation particulière, en partant uniquement de l’adresse du site Web à tester.
Dans un premier temps, nous menons une phase de découverte (ou de repérage), qui vise à recueillir toutes les informations accessibles sur la cible (environnement technique, réseau et applicatif,..)
Puis le consultant peut ensuite préparer et déclencher à l’aide d’outils spécialisés la phase dite d’identification, qui consiste à mener des tests techniques afin d’évaluer l’exposition aux risques mentionnés plus haut. Ce processus peut-être itératif, manuel ou automatisé (emploi de scanners)

EOX PARTNERS s’engage à limiter les tests techniques à des tests non destructifs. En aucun cas, ils ne visent à porter atteinte à la disponibilité ou à la sécurité du système d’information.

Résultats & bénéfices pour le Client
Deux rapports sont remis au Client et présentés sur site :

• Un rapport de synthèse pour la direction, qui exprime le niveau de sécurité évalué, les principales vulnérabilités et recommandations pour y remédier.
• Un rapport technique détaillant les actions menées, les vulnérabilités testées et l'ensemble des recommandations à prendre en compte pour améliorer le niveau de sécurité du système d'information.

Les principaux bénéfices de l’audit sont la prévention des risques et la justification des actions et/ou budgets à mobiliser pour améliorer la sécurité du système.

En savoir plus sur l'audit de sécurité web