Audit de code source

Examiner le code d’une application pour détecter les failles de sécurité, les erreurs de conception et les mauvaises pratiques avant qu’elles ne soient exploitées.

Consolider l’application après les premiers tests

En 2025, la France est championne d'Europe de fuite de données, avec 90% de la population qui a vu ses informations personnelles vendues sur le dark web.

Le risque zéro n'existe pas, ainsi la CNIL ne sanctionne pas systématiquement les fuites. En revanche, l'absence de mesures préventives est pénalement répréhensible avec des amendes allant jusqu'à 4% du chiffre d'affaires.

Un test d'intrusion web est une première étape clé dans la sécurisation de vos applications. Afin de consolider votre site web après les résultats satisfaisants d'un pentest web, il est recommandé d'effectuer un audit de code source.

Une offre pensée pour les portails web déjà éprouvés

Après un pentest web

Vous êtes une PME basée sur un portail Web ayant fait l'objet de tests d'intrusion web ? Bienvenue à bord.

Choisir le bon prestataire

Le marché de la cybersécurité est vaste, il est essentiel de bien choisir son prestataire. Les grands cabinets disposent d'une force commerciale et d'une présence sur les réseaux, mais leurs tarifs sont parfois élevés, ils offrent peu de flexibilité et la qualité n'est pas toujours au rendez-vous.

Un niveau état de l’art

Avec QS, vous faites le choix d'un prestataire réactif assurant un niveau de qualité à l'état de l'art, et ce pour un tarif 20% inférieur au marché.

Un cadrage orienté code, risques et zones critiques

01

Réunion de cadrage

Également appelé "kickoff", ce point réunit tous les acteurs nécessaires au bon déroulement de la prestation : l’expert en charge des tests, votre RSSI et un développeur expérimenté en charge de l’application.

02

Préparation du périmètre

Ce point doit idéalement être planifié en amont de la prestation afin de déterminer les prérequis à fournir, confirmer les dates des tests et leurs modalités.

03

Identification des zones critiques

C'est également l'occasion d'échanger avec un développeur maîtrisant l'application afin d'identifier les segments critiques. Ces parties du code devront faire l'objet d'une attention accrue lors de l'audit.

Automatiser ce qui doit l’être, expertiser ce qui compte

Approche automatisée

Utilisation d'un outil d'audit comme SonarQube afin d'identifier les vulnérabilités liées à de mauvaises pratiques de développement ou à des fonctions réputées vulnérables.

Approche manuelle

Analyse de la logique applicative en commençant par les sections critiques identifiées précédemment. L'objectif est de détecter les vulnérabilités liées à la logique applicative qu'un outil automatisé manquerait.

Une analyse alignée avec les référentiels reconnus

  • La méthodologie OWASP ASVS dont la pertinence est mondialement reconnue
  • Les résultats de l'audit sont mis en perspective avec les exigences ISO27001
  • Les recommandations tiennent compte des guides et bonnes pratiques de l’ANSSI
  • L’expertise du consultant et la capitalisation interne QS Cybersécurité

Un rapport d’audit structuré pour décider et corriger

Synthèse managériale

Une synthèse managériale présentant les risques stratégiques et métiers identifiés, pondérés en fonction de vos enjeux spécifiques.

Tableau des vulnérabilités

Un tableau récapitulatif des vulnérabilités identifiées et des recommandations associées, ordonnées par score CVSS.

Synthèse technique

Une synthèse technique détaillant les différentes analyses effectuées.

Détail des constats

Le détail des vulnérabilités identifiées, preuves à l'appui, avec pour chacune d'elles : description, constat, impact métier et technique, mesures de remédiation à implémenter.

Restituer les constats et prioriser la suite

Lecture des risques majeurs

Après livraison du rapport, une réunion de restitution de 30 à 60 minutes est organisée avec les parties prenantes ayant pris connaissance du rapport. L'objectif n'est pas de détailler le rapport dans une présentation, mais de présenter les principaux risques.

Priorisation des corrections

La restitution permet de revenir sur les vulnérabilités les plus critiques, leurs recommandations et de conclure sur le niveau de sécurité observé durant la prestation.

Alignement avec le contexte client

C'est également l'occasion de traiter des points spécifiques du rapport qui nécessitent des informations supplémentaires en harmonie avec le contexte client.