Cette offre permet de procéder à la sécurisation du code source des applications afin de résister aux attaques les plus sophistiquées
Bagnolet, le 24 Mars 2011,
Le Groupe LEXSI, 1er groupe français indépendant spécialisé en sécurité informatique et gestion des risques annonce sa nouvelle offre « Audit de sécurité applicative » bâtie à partir d'observations et de constats issus de son travail sur le terrain. A ce jour, la plupart des offres du marché sont centrées sur l'intrusion et l'audit technique. Les failles de sécurité sont majoritairement détectées ou corrigées à la fin du cycle de développement des applications alors qu'elles apparaissent pourtant très en amont du déploiement de l'applicatif.
Le principe est donc de procéder à la vérification du niveau de sécurité mis en place dès la conception de la plate-forme applicative jusqu'à sa mise en production. Les experts LEXSI ont pour mission de passer en revue la conception de l'application, d'étudier les menaces et la mise en œuvre des principes de sécurité. Il s'agit également d'analyser en détail les parties de l'application les plus sensibles aux attaques, et d'établir un rapport sur les défauts de l'architecture logique.
L'offre « Audit de Sécurité Applicative» comprend deux grands volets:
- Audit de code (code review, design review, homologation, certification ARJEL, conformité PCI DSS)
- La sensibilisation (formation certifiante et état de l'art, accompagnement et guide de bonnes pratiques de développement)
1) Audit de code
a) Design Review
Le Design Review est une approche moderne qui permet de modéliser et d'analyser la sécurité d'une application Web en étudiant son architecture logique. Il s'agit d'une approche structurée qui permet d'identifier, d'analyser et adresser les risques de sécurité associés aux applications web des clients. Ce n'est pas une revue de code, mais c'est un complément au processus de la revue de code orientée sécurité se basant sur l'Application Threat Model de l'Owasp et le SDL de Microsoft.
b) Code review
Il s'agit de lister les vulnérabilités techniques du code source et de recommander les bonnes pratiques à mettre en œuvre afin de les corriger. Cette opération, majoritairement manuelle, est complétée par des outils d'analyse statique de code qui permettent de rechercher les vulnérabilités techniques et la présence de toutes les classes de vulnérabilité.
La revue de code couplée avec le design review est la garantie d'une analyse efficace qui favorise le contexte métier de l'application auditée.
- c) Homologation : la conformité du code source à un référentiel
Il s'agit d'assurer un niveau de sécurité du code compatible avec les besoins de sécurité exprimés :
• Définition d'une liste de points de contrôles
• Revue du code
• Analyse d'écart et recommandations
• Certification et agrément ARJEL
L'autre grand volet de cette offre porte sur la SENSIBILISATION.
2) Sensibilisation
a) La Formation
La formation sur la prévention des vulnérabilités applicatives est essentielle pour les ingénieurs qui contribuent au processus de développement de logiciels. La mission des experts LEXSI consiste à leur enseigner, en utilisant les langages de programmation avec lesquels ils travaillent, les mécanismes appropriés et les contre-mesures disponibles.
Les formations peuvent être dispensées à l'ensemble des acteurs participant au processus de développement mais également aux chefs de projet, architectes logiciels, ingénieurs qualité, afin de développer leur sensibilité à la sécurité pour l'intégrer au cœur des développements.
b) Accompagnement
Intégrer la sécurité en amont dans les cycles de développement est la meilleure solution pour livrer des produits sécurisés. LEXSI accompagne ses clients tout au long de la durée de vie du projet pour :
• sensibiliser le MOA/MOE, exprimer les besoins de sécurité,
• procéder à des revues de conception,
• formaliser des guides de bonnes pratiques de développements,
• auditer le code source régulièrement.
c) Guide des meilleures pratiques de développement sécurisé
Si l'écriture d'un code n'est pas une tâche facile celle d'un code sécurisé l'est d'autant moins. Les développeurs ont donc besoin d'instructions spécifiques afin d'écrire le code le plus sécurisé possible et d'être accompagnés dans l'exécution de fonctions propres à leur technologie.
La définition d'un guide de développement sécurisé doit permettre d'homogénéiser la sécurité du code et de favoriser l'adoption d'une base commune sécurisée. LEXSI travaille à la conception de ce guide des bonnes pratiques adapté aux environnements utilisés par les équipes de développement.
A l'occasion de la mise en place de cette nouvelle offre, Tarik El Aouadi de LEXSI déclare « Trop souvent, la sécurité applicative n'est pas intégrée dès la phase de développement du logiciel rendant ainsi les bogues et défauts de conception quasiment inévitables. Nous proposons donc au travers de notre offre Audit de sécurité applicative une approche réaliste, pragmatique, et surtout compatible avec les spécificités opérationnelles et culturelles de chaque organisation. »
A propos de LEXSI
Lexsi, 1er groupe Français indépendant spécialisé en sécurité informatique et gestion des risques, compte 150 experts reconnus, repartis en France (Région Parisienne et Rhône Alpes), au Canada (Montréal) et à Singapour.
A travers ses métiers du Conseil en Sécurité informatique, d'Audit des Systèmes d'Information et de Veille et Enquêtes pour lutter contre la cybercriminalité, le groupe LEXSI couvre l'ensemble des besoins de protection du patrimoine informationnel des entreprises.
Positionné sur un secteur de pointe et à travers une expertise unique, la singularité de Lexsi réside dans l'alliance d'innovations constantes, de méthodes éprouvées et de talents reconnus. Lexsi est la première équipe CERT (Computer Emergency Response Team) en Europe, ce qui la positionne comme un acteur majeur dans la lutte contre la cybermalveillance.
Eléments différenciateurs
• 1er Groupe Français indépendant spécialisé dans le conseil en sécurité informatique et gestion des risques
• Equipe CSIRT accréditée et des consultants reconnus
• 600 clients
• Plus de 10 ans d'expérience
• Une collaboration active avec la communauté internationale de sécurité et les services de lutte contre la fraude
• Indépendance totale vis-à-vis des éditeurs et constructeurs du marché
Contact Groupe LEXSI
Anne Bigel
+33 (0)1 73 30 17 08
abigel@lexsi.com
Contact Agence de relation presse
onecholocolate communications
Edouard Fleuriau-Chateau – Xavier Delhôme
01 41 31 75 16/09
edouardfc@onechocolatecomms.fr ;
xavierd@onechocolatecomms.fr
Contact presse :
Contact Agence de relation presse
onecholocolate communications
Edouard Fleuriau-Chateau – Xavier Delhôme
01 41 31 75 16/09
edouardfc@onechocolatecomms.fr ;
xavierd@onechocolatecomms.fr