L’audit de code source permet d’évaluer le suivi des bonnes pratiques de développement sécurisé dans l’application à évaluer.
L’enjeu est d’énumérer de manière exhaustive les vulnérabilités techniques et fonctionnelles que peut présenter une application.
À code ouvert, l’auditeur peut en effet réaliser des recherches très approfondies et trouver des problèmes parfois difficiles, voire impossibles, à identifier avec des tests dynamiques sur une application en production.
L’audit de code source peut être mené à tout moment du cycle de vie d’une application, notamment pour réaliser un état des lieux initial.
Idéalement, il intervient très tôt dans les phases de conception, pour tenir compte de la sécurité dès le début, jusqu’à l’architecture de l’application, et réduire les coûts de correction.
Par la suite, il est conseillé de renouveler l’audit à chaque changement de code majeur ou migration de version, à des fins de contrôle.
La conduite de l’audit dépend principalement de la fourniture du code source à l’auditeur, soit dans une archive, soit au travers d’un accès distant sur le dépôt de code.
Optionnellement, un accès à l’application en fonctionnement peut être fourni pour augmenter la pertinence des tests.
Pendant la phase d’analyse, un contact au sein de l’équipe de développement de l’audité est fortement recommandé, afin de répondre aux interrogations techniques et fonctionnelles assez fréquentes sur les applications complexes.
Après la phase d’analyse, l’auditeur rédige le rapport, qui contient, outre une synthèse managériale, le détail des vulnérabilités, nos recommandations (jusqu’à des extraits de code corrigés lorsque c’est pertinent). Il met également en avant les bonnes pratiques constatées.
Nous garantissons naturellement la parfaite confidentialité de l’ordre de mission, des traces d’audit et des rapports émis.
Cet engagement est concrétisé par notre charte d’éthique, appliquée sur notre organisation et nos analystes, ainsi que par les mesures techniques que nous mettons en œuvre (chiffrement, infrastructure isolée, stricte gestion des droits, politique de rétention des données, etc.).
D’autres parts, le cadre technique, notamment les conditions et la durée de rétention de l’information sont contractualisées dès avant l’audit.
Un compte-rendu de clôture de l’audit vous sera également remis, avec les indications de retour à la normale des systèmes audités (éventuels comptes de test et fichiers à supprimer, ou autres actions).
N’hésitez pas à nous contacter, nous nous ferons un plaisir de partager avec vous plus de précisions à ce sujet.