Accueil / Audit / Audit sécurité web : votre site est-il en danger ?

Audit sécurité web : votre site est-il en danger ?

Vérifiez que votre application ou site web est protégé(e) et bénéficiez de l'assistance de nos experts en sécurité informatique.

Pourquoi cet audit de sécurité ?

La sécurité d'une application Web dépends de plusieurs briques importantes, le framework ou CMS utilisé, l'expérience des équipes chargées de réaliser les intégrations ou les développements spécifiques, la compétence des équipes chargées de mettre en œuvre les services systèmes hébergeant l'application.

Un site web d'entreprise est souvent composé par de nombreuses personnes, intervenant à des niveaux très différents (paramétrages serveurs, configuration des services, développement applicatif, écriture de code fonctionnel, ajout de code spécifique pour le SEO, etc). Un audit sécurité web permet une analyse transversale du site et une détection des failles classiques.

La sécurisation d'un site web est un processus qui inclut la correction de failles existantes (par exemple, après détection d'un code malveillant) mais aussi la mise en œuvre de mesures de protection et de réduction des risques.

Types d'audit de sécurité informatique

Quelque soit la technologie (Drupal, Django, Symfony, Apache, Nginx, Varnish, Plone, etc), nos experts peuvent s'adapter à de nombreuses configurations. Dans le monde de la sécurité web il existe principalement deux types d'audit :

  • Des tests d'intrusion, analyse "à l'aveugle" du site avec recensement des failles identifiées, sans destruction de donnée (recherche d'informations) ;
  • Une analyse en profondeur des réglages et du code, un test d'intrusion "assisté" (facilité par la connaissance des réglages mis en place).

Notre audit sécurité web est le plus souvent basés sur ce deuxième type dans lequel les compétences des experts sont exploitées au maximum et pour lequel l'analyse des mesures de protection contre les intrusions à mettre en œuvre est simplifiée.

Déroulement de l'audit sécurité web

Différents points abordés lors de l'audit sont :

  • L'identification des risques (niveaux de contribution, trafic anonyme et connecté, impacts des données, etc)
  • Implémentation du SSL
  • Détection des attaques anonymes classiques (XSS et injection de HTML - voir de SQL- dans les champs de recherche, dans les requêtes ajax, etc)
  • Extension de cette détection au trafic connecté
  • Analyse des versions de services et modules applicatifs utilisés et des risques réels associés aux éventuels correctifs apportés à ces composants
  • Analyse du code contribué, des templates
  • Analyse de la politique de droit d'accès au système de fichier et des réglages de cloisonnements applicatif
  • Analyse des réglages serveurs (Apache / Nginx / Varnish, pare-feu, PHP, etc)

Combien coûte cet audit de sécurité ?

Le prix dépend du dimensionnement du site web et du nombre de journées nécessaire à l'analyse du site. Le facteur le plus long est l'analyse du code contribué pour la détection de vulnérabilités. Le prix est compris entre 800 et 1500 € HT par journée d'audit selon le niveau d'expertise requis pour l'analyse de l'application.

pour une estimation plus précise.