Services d’évaluation de la sécurité des applications
Les services d’évaluation de la sécurité des applications de Orenda Security sont personnalisés pour vous aider à sécuriser les applications essentielles à vos affaires et assurer leur conformité avec les exigences de sécurité de votre industrie.
La sécurisation des applications représente un défi plus grand que jamais alors que la rapidité de développement des applications continue d’augmenter. L’adoption des technologies infonuagiques, les pratiques de développement agile, le devops et les nouvelles technologies offrent tous une valeur d’affaires intéressante, mais la vitesse des changements a un impact important sur la capacité de sécuriser adéquatement les applications essentielles aux affaires. Une stratégie adéquate d’évaluation de la sécurité, incluant des tests manuels et automatisés durant le cycle de développement des systèmes (SDLC) et en production, est essentielle pour mitiger les risques; notre équipe peut vous aider en développant et en réalisant une solution de tests personnalisée pour répondre à vos besoins d’affaires.
Processus de tests d’intrusion
Les tests d’intrusion et l’évaluation des vulnérabilités du système et du réseau d’infrastructure sont essentiels pour déceler les vulnérabilités de sécurité qui sont utilisées pour lancer une cyberattaque via l’internet. Les tests de réseau interne ou l’évaluation de sécurité des systèmes faisant face à l’internet permettent de découvrir les services de réseau vulnérables qui peuvent être exploités par des sources inconnues de menaces.
Phase 1
Profilage et découverte
À cette étape, le profilage de l’application web ciblée est réalisé en identifiant les points d’accès des utilisateurs, en obtenant une compréhension des mécanismes de sécurité de base utilisés par l’application, ainsi que les interface avec les applications internes ou externes, en identifiant les rôles avec des niveaux de confiance variables et en déterminant le flux de données avec indication sur les limites de privilège.
Phase 2
Balayage automatisé de la sécurité des applications
Des scanners automatisés de vulnérabilités d’application (commerciaux ou de code source libre) sont utilisés pour détecter des vulnérabilités spécifiques aux applications, selon toutes les références OWASP, WASC et SANS.
Phase 3
Détermination des vulnérabilités des applications
Cette étape implique une approche hybride complète d’identification des vulnérabilités de sécurité des applications web à l’aide d’outils et de scripts automatisés, ainsi qu’une évaluation manuelle pour éliminer les faux-positifs et les faux-négatifs. L’évaluation manuelle utilise différentes bases de données de vulnérabilités pour identifier les vulnérabilités qui n’auraient pas été détectées pendant le balayage automatisé, en plus de vérifier la sécurité des failles de logique d’affaires, les contrôles d’accès rompus et plus.
Phase 4
Exploitation des vulnérabilités des applications
L’objectif principal de cette phase est d’utiliser des techniques manuelles de tests de sécurité pour exploiter les systèmes qui comprennent plusieurs exploits pour évaluer les mesures de renforcement des applications, les enjeux de cryptographie, les contrôles d’authentification et d’autorisation, le module de gestion des sessions, les failles de logique d’affaires et différentes mesures de validation. Les scénarios d’attaque des environnements de production utiliseront une combinaison de charge d’exploits en strict accord avec les règles établies du mandat.
Phase 5
Rapports
Toutes les vulnérabilités de sécurité exploitables de l’application web ciblée sont enregistrées avec leurs valeurs CVSS v2 associées et consignées dans un rapport. Les vulnérabilités de sécurité identifiées sont évaluées minutieusement et consignées dans un rapport avec les mesures de mitigation ou les recommandations appropriées.
Phase 6
Remédiation et réévaluation
La remédiation implique l’assistance pour remédier aux vulnérabilités de sécurité des applications qui ont été identifiées. Après la remédiation, une réévaluation sera réalisée afin de valider l’efficacité des contremesures de sécurité des applications utilisées pour mitiger les vulnérabilités de sécurité mentionnées dans le rapport.
Applications web
Notre équipe commence par une évaluation de la conception de votre application web et évalue la probabilité de rencontrer des enjeux de sécurité par une analyse de la modélisation des menaces. Les tests manuels sont la principale méthode de test utilisée mais des tests d’intrusion automatisés sont également réalisés. Orenda Security mettra l’emphase sur l’attaque, la modification et le détournement des interactions client-serveur, les services web et les APIs utilisés par les applications, et pourra même cibler les données d’entreprise utilisées dans vos systèmes de bases de données.
Nos experts dévoués trouveront et tenteront d’exploiter les failles de sécurité qui pourraient permettre l’élévation de privilèges, la divulgation de renseignements confidentiels, l’injection de code malveillant à l’intérieur de composantes fiables, des failles de logique et d’autres conditions habituellement reconnues pour présenter des vulnérabilités de sécurité. Cette approche nous permet d’identifier tous les vecteurs d’attaque existants et de démontrer les impacts qu’aurait une attaque réelle. Orenda Security classe les vulnérabilités selon la plus récente liste de l’OWASP des 10 plus importantes failles de sécurité des applications web. Les étapes principales incluent : L’évaluation de la sécurité de votre réseau externe comprend plusieurs étapes. Les principales étapes incluent :
Applications mobiles
Les tests d’intrusion d’applications mobiles de Orenda Security sont exhaustifs et débutent par une revue des documents techniques de conception, des diagrammes de processus et de l’architecture de sécurité des applications, afin d’identifier les surfaces d’attaque des applications.
Les vulnérabilités identifiées sont représentées selon la liste des 10 plus importantes failles de sécurité des applications de l’OWASP:
Découvrez nos services en:
CONTACTEZ-NOUS!
Contactez-nous pour en apprendre davantage sur les renseignements en sécurité.
Témoignages
L’HISTOIRE ET L’ÉQUIPE
DERRIÈRE ORENDA SECURITY ®
Orenda Security ® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.