Sécurité offensive

Audit de code

Audits boîte blanche

La revue « boîte blanche » plonge au cœur de vos applications. En examinant chaque fichier, chaque requête et chaque dépendance, nous détectons les failles qu’un test d’intrusion ou un scanner automatisé ne peuvent voir : erreurs de logique, injections cachées, mauvaises pratiques cryptographiques ou mécanismes de protection contre le reverse engineering mal configurés. Vous repartez avec un rapport clair, priorisé et immédiatement exploitable par vos équipes.

PMEETIgrands comptes

L’audit de code pour identifier les vulnérabilités présentes dans le code de vos applications

L’audit de code ou audit applicatif dit boîte blanche permet, en plus d’évaluer en profondeur le niveau de sécurité d’une application, d’identifier d’éventuelles mauvaises pratiques de programmation. Complémentaire de l’audit de configuration et des tests d’intrusion qui permettent d’évaluer la sécurité du point de vue de l’attaquant, la revue du code source permet d’identifier les failles difficilement détectables ou exploitables. Cet exercice permet également de s’assurer que les mécanismes de durcissement applicatifs et de protection contre l’ingénierie à rebours (reverse-engineering) sont bien appliqués.

La démarche d’audit s’appuie sur les référentiels de l’OWASP (Open Web Application Security Project), de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information), du SANS (SysAdmin, Audit, Network, Security), des référentiels de sécurité des éditeurs ainsi que sur l’état de l’art et les contraintes métiers spécifiques de l’audité.

Les objectifs de l’audit de code

Découvrir un maximum de vulnérabilités affectant l’application auditée.
Évaluer le niveau de durcissement du code et les éventuelles protections contre l’ingénierie à rebours.
Définir un plan d’action technique permettant d’appliquer les meilleures pratiques en termes de développement sécurisé.

Digitemis propose la méthode suivante :

Un exemple de mission

Audit de code sur une application Android et les Web Services associés

L’audit de code est réalisé à l’issue d’un test d’intrusion, il vise à découvrir de nouvelles failles de sécurité et à évaluer le niveau de durcissement du code de l’application. Les Web Services REST font l’objet de point de contrôle portant à la fois sur l’état de l’art concernant ce type d’application, mais également les meilleures pratiques du langage de programmation utilisé. L’audit de l’application Androïd est également réalisé, une attention supplémentaire est portée aux mécanismes permettant de se prémunir des opérations malveillantes visant à retrouver le code source, même partiel, de l’application (ingénierie à rebours/reverse-engineering).

Ils nous font confiance

informations

Contactez-nous

Un projet d’audit de code ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

*Informations obligatoires

Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

Expertises liées

Pentests

Tests d’intrusion externes

Exposez vos vulnérabilités pour mieux les corriger : applications web ou mobiles, API, portails VPN, équipements industriels accessibles… Chaque actif ouvert sur Internet peut devenir le point d’entrée d’un attaquant déterminé. Le pentest externe Digitemis reproduit leurs méthodes – collecte OSINT, scans furtifs, exploitation manuelle, contournement des IDS/IPS – afin de mesurer l’impact réel d’une compromission et de remettre à vos équipes un plan d’actions immédiatement exploitable.

ETIgrands comptesPME

Audits boîte blanche

Audit de configuration

Une option mal configurée suffit à tout exposer ; mettons vos systèmes au diapason. Pare-feu, serveurs Windows ou Linux, équipements réseau, bases de données : une simple option laissée par défaut ou un service inutile activé suffit à ouvrir la porte à un attaquant. L’audit de configuration Digitemis compare vos réglages à l’état de l’art (ANSSI, CIS, SANS, guides éditeurs) et fournit un plan de durcissement technique immédiatement applicable.

ETIgrands comptesPME

Ingénierie sociale

Campagnes de phishing

Un e-mail trompeur, un lien anodin : c’est souvent tout ce qu’il faut à un cyber-attaquant pour franchir vos défenses techniques. Avec Phish & Chips, la plateforme développée par Digitemis, nous simulons ces attaques dans un cadre sécurisé, mesurons la réaction de vos équipes et transformons chaque clic en opportunité de progrès.

ETIgrands comptesPME

FAQ

Questions fréquentes

Si vous avez d’autres questions, n’hésitez pas à nous contacter directement !

Faut-il fournir l’intégralité du dépôt ?

Oui ; nous travaillons sur une branche miroir ou une archive chiffrée, sans jamais pousser de commit sur votre dépôt principal.

Quelle est la durée d’un audit de code ?

De trois à dix jours ouvrés selon la taille du projet : un micro-service se traite en quelques jours ; un monolithe de plusieurs centaines de milliers de lignes nécessite plus d’une semaine.

Utilisez-vous des outils automatisés ?

Nous combinons analyse statique outillée et revue manuelle : l’outil permet la couverture exhaustive ; la vérification humaine élimine les faux positifs et révèle les failles logiques.

Peut-on auditer uniquement un module sensible ?

Oui ; un périmètre restreint (moteur de paiement, module d’authentification) est possible et donne un résultat rapide, avant un audit complet ultérieur.

cas client

Découvrez notre approche

Uncategorized

Cas client 1

PME

Lorem ipsum dolor sit amet consectetur. Massa sed porta praesent egestas erat. Egestas et vivamus nisl velit erat cras mattis. Massa sed porta praesent egestas erat. gestas et vivamus nisl velit erat cras mattis. Lorem ipsum dolor sit amet consectetur.

Uncategorized

Cas client 2

cas client

Découvrez notre approche projet

Uncategorized

Cas client 1

PME