{"id":879,"date":"2019-10-27T15:06:37","date_gmt":"2019-10-27T19:06:37","guid":{"rendered":"https:\/\/orendasecurity.com\/?page_id=879"},"modified":"2019-12-04T20:01:07","modified_gmt":"2019-12-05T01:01:07","slug":"evaluation-applications","status":"publish","type":"page","link":"https:\/\/orendasecurity.com\/fr\/services\/evaluation-applications\/","title":{"rendered":"Services d\u2019\u00e9valuation de la s\u00e9curit\u00e9 des applications"},"content":{"rendered":"\n
\n
\n <\/span><\/span><\/span>
\n
\n
\n
\n \n
\n
\n

Services d\u2019\u00e9valuation de la s\u00e9curit\u00e9 des applications<\/h1> <\/div>\n<\/div>\n <\/div>\n <\/div>\n
\n
\n \n
\n
\n

Les services d\u2019\u00e9valuation de la s\u00e9curit\u00e9 des applications de Orenda Security sont personnalis\u00e9s pour vous aider \u00e0 s\u00e9curiser les applications essentielles \u00e0 vos affaires et assurer leur conformit\u00e9 avec les exigences de s\u00e9curit\u00e9 de votre industrie.<\/p> <\/div>\n<\/div>\n <\/div>\n <\/div>\n

\n
\n \n
\n
\n \n DEMANDER UN DEVIS <\/a>\n <\/div>\n <\/div>\n\n <\/div>\n
\n \n
\n
\n \n EN SAVOIR PLUS <\/a>\n <\/div>\n <\/div>\n\n <\/div>\n
\n <\/div>\n <\/div>\n
\n
\n \n
\n\t\t\t
\n\t\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/use><\/svg><\/em>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/a>\n\t\t\t\t\t<\/div>\n\t<\/div>\n\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n
\n
\n
\n \n
\n
\n

La s\u00e9curisation des applications repr\u00e9sente un d\u00e9fi plus grand que jamais alors que la rapidit\u00e9 de d\u00e9veloppement des applications continue d\u2019augmenter. L\u2019adoption des technologies infonuagiques, les pratiques de d\u00e9veloppement agile, le devops et les nouvelles technologies offrent tous une valeur d\u2019affaires int\u00e9ressante, mais la vitesse des changements a un impact important sur la capacit\u00e9 de s\u00e9curiser ad\u00e9quatement les applications essentielles aux affaires. Une strat\u00e9gie ad\u00e9quate d\u2019\u00e9valuation de la s\u00e9curit\u00e9, incluant des tests manuels et automatis\u00e9s durant le cycle de d\u00e9veloppement des syst\u00e8mes (SDLC) et en production, est essentielle pour mitiger les risques; notre \u00e9quipe peut vous aider en d\u00e9veloppant et en r\u00e9alisant une solution de tests personnalis\u00e9e pour r\u00e9pondre \u00e0 vos besoins d\u2019affaires.<\/p> <\/div>\n<\/div>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n
\n
\n \n
\n
\n \"Services \n <\/div>\n \n \n <\/div>\n <\/div>\n
\n \n
\n
\n

Processus de tests d\u2019intrusion<\/h2>

Les tests d\u2019intrusion et l\u2019\u00e9valuation des vuln\u00e9rabilit\u00e9s du syst\u00e8me et du r\u00e9seau d\u2019infrastructure sont essentiels pour d\u00e9celer les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 qui sont utilis\u00e9es pour lancer une cyberattaque via l\u2019internet. Les tests de r\u00e9seau interne ou l\u2019\u00e9valuation de s\u00e9curit\u00e9 des syst\u00e8mes faisant face \u00e0 l\u2019internet permettent de d\u00e9couvrir les services de r\u00e9seau vuln\u00e9rables qui peuvent \u00eatre exploit\u00e9s par des sources inconnues de menaces.<\/p> <\/div>\n<\/div>\n <\/div>\n <\/div>\n

\n
\n \n
\n
\n \"Services \n <\/div>\n \n \n <\/div>\n\n
\n
\n

Phase 1<\/p>

Profilage et d\u00e9couverte<\/h3>

\u00c0 cette \u00e9tape, le profilage de l\u2019application web cibl\u00e9e est r\u00e9alis\u00e9 en identifiant les points d\u2019acc\u00e8s des utilisateurs, en obtenant une compr\u00e9hension des m\u00e9canismes de s\u00e9curit\u00e9 de base utilis\u00e9s par l\u2019application, ainsi que les interface avec les applications internes ou externes, en identifiant les r\u00f4les avec des niveaux de confiance variables et en d\u00e9terminant le flux de donn\u00e9es avec indication sur les limites de privil\u00e8ge.<\/p> <\/div>\n<\/div>\n <\/div>\n

\n \n
\n <\/div>\n\n\n
\n
\n \"Services \n <\/div>\n \n \n <\/div>\n\n
\n
\n

Phase 2<\/p>

Balayage automatis\u00e9 de la s\u00e9curit\u00e9 des applications<\/h3>

Des scanners automatis\u00e9s de vuln\u00e9rabilit\u00e9s d\u2019application (commerciaux ou de code source libre) sont utilis\u00e9s pour d\u00e9tecter des vuln\u00e9rabilit\u00e9s sp\u00e9cifiques aux applications, selon toutes les r\u00e9f\u00e9rences OWASP, WASC et SANS.<\/p> <\/div>\n<\/div>\n <\/div>\n <\/div>\n \n

\n <\/div>\n\n
\n
\n \n
\n
\n \"Services \n <\/div>\n \n \n <\/div>\n\n
\n
\n

Phase 3<\/p>

D\u00e9termination des vuln\u00e9rabilit\u00e9s des applications<\/h3>

Cette \u00e9tape implique une approche hybride compl\u00e8te d\u2019identification des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 des applications web \u00e0 l\u2019aide d\u2019outils et de scripts automatis\u00e9s, ainsi qu\u2019une \u00e9valuation manuelle pour \u00e9liminer les faux-positifs et les faux-n\u00e9gatifs. L\u2019\u00e9valuation manuelle utilise diff\u00e9rentes bases de donn\u00e9es de vuln\u00e9rabilit\u00e9s pour identifier les vuln\u00e9rabilit\u00e9s qui n\u2019auraient pas \u00e9t\u00e9 d\u00e9tect\u00e9es pendant le balayage automatis\u00e9, en plus de v\u00e9rifier la s\u00e9curit\u00e9 des failles de logique d\u2019affaires, les contr\u00f4les d\u2019acc\u00e8s rompus et plus.<\/p> <\/div>\n<\/div>\n <\/div>\n

\n \n
\n <\/div>\n\n\n
\n
\n \"Services \n <\/div>\n \n \n <\/div>\n\n
\n
\n

Phase 4<\/p>

Exploitation des vuln\u00e9rabilit\u00e9s des applications<\/h3>

L\u2019objectif principal de cette phase est d\u2019utiliser des techniques manuelles de tests de s\u00e9curit\u00e9 pour exploiter les syst\u00e8mes qui comprennent plusieurs exploits pour \u00e9valuer les mesures de renforcement des applications, les enjeux de cryptographie, les contr\u00f4les d\u2019authentification et d\u2019autorisation, le module de gestion des sessions, les failles de logique d\u2019affaires et diff\u00e9rentes mesures de validation. Les sc\u00e9narios d\u2019attaque des environnements de production utiliseront une combinaison de charge d\u2019exploits en strict accord avec les r\u00e8gles \u00e9tablies du mandat.<\/p> <\/div>\n<\/div>\n <\/div>\n <\/div>\n \n

\n <\/div>\n\n
\n
\n \n
\n
\n \"Services \n <\/div>\n \n \n <\/div>\n\n
\n
\n

Phase 5<\/p>

Rapports<\/h3>

Toutes les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 exploitables de l\u2019application web cibl\u00e9e sont enregistr\u00e9es avec leurs valeurs CVSS v2 associ\u00e9es et consign\u00e9es dans un rapport. Les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 identifi\u00e9es sont \u00e9valu\u00e9es minutieusement et consign\u00e9es dans un rapport avec les mesures de mitigation ou les recommandations appropri\u00e9es.<\/p> <\/div>\n<\/div>\n <\/div>\n

\n \n
\n <\/div>\n\n\n
\n
\n \"Services \n <\/div>\n \n \n <\/div>\n\n
\n
\n

Phase 6<\/p>

Rem\u00e9diation et r\u00e9\u00e9valuation<\/h3>

La rem\u00e9diation implique l\u2019assistance pour rem\u00e9dier aux vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 des applications qui ont \u00e9t\u00e9 identifi\u00e9es. Apr\u00e8s la rem\u00e9diation, une r\u00e9\u00e9valuation sera r\u00e9alis\u00e9e afin de valider l\u2019efficacit\u00e9 des contremesures de s\u00e9curit\u00e9 des applications utilis\u00e9es pour mitiger les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 mentionn\u00e9es dans le rapport.<\/p> <\/div>\n<\/div>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n <\/div>\n

\n
\n
\n
\n
\n \n
\n
\n \"Services \n <\/div>\n \n \n <\/div>\n <\/div>\n
\n \n
\n
\n

Applications web<\/h2>

Notre \u00e9quipe commence par une \u00e9valuation de la conception de votre application web et \u00e9value la probabilit\u00e9 de rencontrer des enjeux de s\u00e9curit\u00e9 par une analyse de la mod\u00e9lisation des menaces. Les tests manuels sont la principale m\u00e9thode de test utilis\u00e9e mais des tests d\u2019intrusion automatis\u00e9s sont \u00e9galement r\u00e9alis\u00e9s. Orenda Security mettra l\u2019emphase sur l\u2019attaque, la modification et le d\u00e9tournement des interactions client-serveur, les services web et les APIs utilis\u00e9s par les applications, et pourra m\u00eame cibler les donn\u00e9es d\u2019entreprise utilis\u00e9es dans vos syst\u00e8mes de bases de donn\u00e9es.<\/p>

Nos experts d\u00e9vou\u00e9s trouveront et tenteront d\u2019exploiter les failles de s\u00e9curit\u00e9 qui pourraient permettre l\u2019\u00e9l\u00e9vation de privil\u00e8ges, la divulgation de renseignements confidentiels, l\u2019injection de code malveillant \u00e0 l\u2019int\u00e9rieur de composantes fiables, des failles de logique et d\u2019autres conditions habituellement reconnues pour pr\u00e9senter des vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9. Cette approche nous permet d\u2019identifier tous les vecteurs d\u2019attaque existants et de d\u00e9montrer les impacts qu\u2019aurait une attaque r\u00e9elle. Orenda Security classe les vuln\u00e9rabilit\u00e9s selon la plus r\u00e9cente liste de l\u2019OWASP des 10 plus importantes failles de s\u00e9curit\u00e9 des applications web. Les \u00e9tapes principales incluent : L\u2019\u00e9valuation de la s\u00e9curit\u00e9 de votre r\u00e9seau externe comprend plusieurs \u00e9tapes. Les principales \u00e9tapes incluent :<\/p> <\/div>\n<\/div>\n <\/div>\n <\/div>\n

\n
\n \n
\n \n