Audit de sécurité pour anticiper et protéger vos systèmes

Renforcez la sécurité de vos solutions.

 

Dans un monde numérique en constante évolution, la sécurité de vos données est primordiale. Notre service d'audit de sécurité est conçu pour identifier les vulnérabilités de votre infrastructure informatique et proposer des solutions adaptées à vos besoins.

Assurez la tranquillité d'esprit de votre entreprise en nous confiant l’audit de votre sécurité et en renforçant vos défenses contre les attaques potentielles.

Illustration 4SH Run
Audit
Rapport des vulnérabilités
Contre-audit
 

Nos domaines d’expertise


Grâce à notre expertise, nous vous aidons à protéger vos actifs les plus précieux contre les cybermenaces. Nos consultants utilisent des méthodologies éprouvées pour évaluer vos systèmes, détecter les failles et vous fournir un rapport détaillé avec des recommandations claires et actionnables.

 

Sécurité générale

Audit de sécurité Interne / Externe

Nous auditons nos projets en interne par notre équipe sécurité.

L’audit des projets se base fortement sur le Top 10 de l'OWASP ainsi que sur les critères décrits au fur et à mesure de cette présentation.

Les audits externes peuvent être déclenchés à la demande du client, nous avons déjà mis en place des audits pour certains de nos projets par des prestataires externes comme Lexfo et Tehtris.

Nous vous recommanderons toujours de procéder à un audit externe après un audit interne afin de confirmer ou compléter la liste des vulnérabilités détectées.

Revues systématiques du code

Des demandes de merge (aussi appelée pull-request) sont ouvertes par les développeurs et doivent être revues avant fusion du code.

Des contrôles stricts sont en place sur la fusion du code :

  • Aucun code ne peut être livré sans relecture et validation par un pair.
  • Des contrôles (tests et qualité) sont exécutés à chaque ouverture de pull-request :
    • Une alerte est levée pour chaque contrôle qui échoue.
    • Toutes les alertes doivent impérativement être adressées pour pouvoir fusionner le code avec la branche de code principal.

Sécurité Applicative

  • Analyse des CVE à l’aide des outils OWASP Dependency-Check et Trivy
  • Gestion de l’authentification par un gestionnaire d’identité ou par l’application elle-même
  • Antivirus
  • Entêtes de sécurité
  • Téléchargement de fichier CSV / XLSX
  • Liste blanche d’envoi de fichier vers le serveur
  • Traçabilité des actions

Sécurité Infrastructure

  • Chiffrement du trafic réseau HTTPS
  • API Gateway
  • Monitoring
  • Sauvegardes
  • Plan de reprise d’activité
  • Suivi des recommandations de sécurités pour les composants externes (MongoDB, Nginx, K8S, etc.)
  • Gestion de la configuration des secrets
  • Environnement de tests