Contactez-nous: +41 22 595 12 80 - info@immunit.ch

Notre approche

Afin de garantir une qualité constante lors de ses audits applicatifs, immunIT a décidé de s’appuyer sur la méthodologie OWASP lors de ses missions. Que ce soit donc lors des tests d’intrusions ou lors des revues de codes, nos équipes se baseront sur les standards suivants :

Bien que le contenu de chaque test d’intrusion peut être modulé en fonction du mandat, les contrôles suivants sont généralement communs à chacun de nos audits applicatifs:

  • Audit de la configuration et de la plateforme de déploiement
  • Audit de la gestion des identités
  • Audit de l’authentification
  • Audit des autorisations
  • Audit de la gestion des sessions
  • Audit de la validation des entrées
  • Audit du traitement des erreurs
  • Audit de la cryptographie
  • Audit de la logique métier
  • Audit de l’exécution de code côté client

Test d’intrusion black/grey/white box

Chacun de nos tests d’intrusion, qu’ils soient externes ou internes peuvent se dérouler avec différents niveaux d’information fournis à nos équipes. Pour être au plus proche de la réalité d’un attaquant, aucune information ne sera fournie au préalable (black box). Si au contraire, un audit doit être plus exhaustif et/ou la phase de reconnaissance doit être réduite, des informations précises seront fournies à nos auditeurs (white box). Il est également possible d’effectuer un audit dans des conditions intermédiaires où par exemple nos équipes ne disposeraient que d’informations limitées, ou qui seraient fournies en cours d’audit (grey box). En complément du niveau de détails fourni aux auditeurs, le niveau d’accès leur étant attribué (aucun accès / accès authentifié / accès privilégié) est également un critère modulable.

Revue de code

Le test d’intrusion peut être complété par une revue de code de votre application. Cette étape permet de détecter des vulnérabilités qui auraient été difficiles à auditer de manière dynamique. La revue de code permet d’identifier au plus tôt dans votre cycle de développement logiciel (SDLC) les vulnérabilités logicielles ou les patterns à risque qui pourraient avoir été laissés dans le code de l’application. Une fois ces vulnérabilités identifiées, des corrections peuvent être proposées par immunIT à vos équipes de développement.

Audit applicatif

Liens utiles

owasp

Autres services

Besoin de plus d’informations?

Tel: +41 22 595 12 80

info@immunit.ch
Clé PGP

Retour en haut