Audit de sécurité pour anticiper et protéger vos systèmes

Sécurité générale

Audit de sécurité Interne / Externe

Nous auditons nos projets en interne par notre équipe sécurité.

L’audit des projets se base fortement sur le Top 10 de l'OWASP ainsi que sur les critères décrits au fur et à mesure de cette présentation.

Les audits externes peuvent être déclenchés à la demande du client, nous avons déjà mis en place des audits pour certains de nos projets par des prestataires externes comme Lexfo et Tehtris.

Nous vous recommanderons toujours de procéder à un audit externe après un audit interne afin de confirmer ou compléter la liste des vulnérabilités détectées.

Revues systématiques du code

Des demandes de merge (aussi appelée pull-request) sont ouvertes par les développeurs et doivent être revues avant fusion du code.

Des contrôles stricts sont en place sur la fusion du code :

• Aucun code ne peut être livré sans relecture et validation par un pair.
• Des contrôles (tests et qualité) sont exécutés à chaque ouverture de pull-request :
  • Une alerte est levée pour chaque contrôle qui échoue.
  • Toutes les alertes doivent impérativement être adressées pour pouvoir fusionner le code avec la branche de code principal.

Sécurité Applicative

• Analyse des CVE à l’aide des outils OWASP Dependency-Check et Trivy
• Gestion de l’authentification par un gestionnaire d’identité ou par l’application elle-même
• Antivirus
• Entêtes de sécurité
• Téléchargement de fichier CSV / XLSX
• Liste blanche d’envoi de fichier vers le serveur
• Traçabilité des actions

Sécurité Infrastructure

• Chiffrement du trafic réseau HTTPS
• API Gateway
• Monitoring
• Sauvegardes
• Plan de reprise d’activité
• Suivi des recommandations de sécurités pour les composants externes (MongoDB, Nginx, K8S, etc.)
• Gestion de la configuration des secrets
• Environnement de tests