Le code source d’une application est un texte qui détaille les instructions d’un programme informatique dans un langage de programmation compréhensible et utilisable par l’homme. Il traduit les instructions qu’a souhaité laisser le programmeur lors de la conception du programme. Il est donc important de le protéger. L’audit de sécurité du code source des applications consiste en une revue globale de votre processus de développement applicatif. C’est une démarche qualité continue qui s’applique en fonction de règles et de standards définis.

Vous avez besoin d’anticiper les problèmes de sécurité ? De garantir la stabilité des applications métiers ? D’assurer la performance dans l’utilisation et optimiser les ressources matérielles de votre entreprise ?

 

Lors d’un audit de code source, les experts en cyberdéfense contrôlent les points suivants :

  • Identifier les variables et fonctions sensibles et en déterminer les modes d’utilisation critiques
  • Vérifier la complétude des codes sources en compilant le programme et en vérifiant son fonctionnement correct
  • Rechercher dans le code source des fonctions illicites ou non documentées
  • Examiner les dépendances entre les éléments de données pour rechercher des dépendances illogiques
  • Analyser l’architecture de l’application et la façon dont la sécurité est implémentée
  • Réaliser des études du comportement des objets 

 

 

La méthodologie GUARDEA : 

L’utilisation d’outils professionnels et le respect des méthodologies connues et répandues telles que le Common Vulnerability Scoring System (CVSS) sont importants. Ce dernier est un système d’évaluation standardisé de la criticité des vulnérabilités selon des critères objectifs et mesurables. Le suivi permanent des audits de code source permet aux entreprises de suivre et d’orienter la réalisation des tests de sécurité

Les livrables : 

Les résultats de l’audit de sécurité doivent être remis sous la forme d’une note synthétique enrichie d’un rapport technique détaillé, d’un tableau de synthèse des vulnérabilités et d’une synthèse managériale.

Ces livrables sont communiqués au cours de la réunion de restitution et de présentation des recommandations techniques