Audit sécurité et performance de votre site Internet
Identifier les problèmes de sécurité et proposer des solutions pérennesIce Development met à votre disposition son savoir faire technique lors d'audit
Ainsi, nous pouvons réaliser des audits de sécurité et de performance pour vos sites Internet ou vos applicatifs.
Ice Development audit votre site Internet ou votre applicatif
Mots clés à intégrer au texte :
audit sécurité site internet
audit performance site internet
audit sécurité applicatif
audit performances applicatif
Audit de sécurité
L’objectif est de déterminer si une application est sensible aux attaques communes.
Aujourd’hui, les tentatives de piratages sont fréquentes et ne ciblent plus uniquement les sites à fort trafic. En effet, les pirates se tournent aussi vers de plus petit acteurs dont ils espèrent que la politique de sécurité plus laxiste leur permettra de d’introduire plus facilement dans les serveurs.
Voici les principaux buts de ces piratages :
– Le défacement de site web. Cela consiste à exploiter une faille pour modifier de manière visible la page d’accueil.
– L’injection de liens. Là encore la page d’accueil est modifiée mais de manière plus discrète pour ajouter des liens qui permettront d’augmenter le classement du site ciblé par les liens sur les moteurs de recherche pour lui permettre d’augmenter sa visibilité.
– L’injection de code malicieux. Cette fois, le but est de faire en sorte que l’utilisateur qui arrive sur la page modifiée soit infecté par un virus, un vers ou un cheval de Troie qui va utiliser les failles du navigateur, du plugin Adobe © Flash player, d’un lecteur PDF, …
– La récupération d’information. Le but est de récupérer des informations monnayable comme la liste des clients (nom, prénom, adresse, courriel, mot de passe, coordonnées bancaires). Ces informations seront alors revendues et seront utilisées pour de l’usurpation d’identité ou pour cibler plus efficacement de potentielle victime en leur envoyant des courriels de hameçonnage.
– La prise de contrôle de tout ou partie du serveur. Le but est de pouvoir ensuite s’en servir comme base pour effectuer de nouvelles attaques vers d’autres sites, pour envoyer du SPAM, installer des sites de hameçonnage ou si le site s’y prête mettre en place l’interception des coordonnées bancaires ou se faire envoyer de la marchandise sans la payer ou à un coût dérisoire.
– La destruction du site. Ceci consiste en la suppression pure et simple de tout le site ainsi que de toutes les données associées.
Etre la victime d’un piratage peut avoir de nombreux impacts négatifs :
– Perte d’exploitation pour un site de commerce : Tant que le site n’est pas corrigé et remis en route les prises de commandes sont suspendues.
– Perte de notoriété du site ou de la marque associées.
Audit sur les performances
C’est un audit sur les goulots d’étranglement qui ralentissent tout ou partie d’un logiciel.
La réactivité d’une application en client léger ou lourd est un impératif pour augmenter son audience auprès du grand public et pour la productivité des équipes en internes.
Les causes peuvent être multiples : une mauvaise structure logicielle, une complexité ou une sollicitation trop importante et inutile des ressources.
Elles peuvent être corrigées en restructurant le logiciel, en mettant en place du cache, en configurant plus finement les différents composants ou en utilisant des technologies plus appropriées.
Audit de qualité
C’est un audit sur les bonnes pratiques pour assurer la gestion de l’application dans le temps
Au delà de la réalisation initiale d’un logiciel il est important que son développement respecte des bonnes pratiques qui facilitent la gestion dans le temps de ce logiciel :
– La documentation de la structure interne est un point primordial pour qu’une équipe de développement qui n’est pas forcément l’équipe de départ puisse assurer en moins de temps et donc à moindre coup, des opérations de maintenances (ex : correction de bugs), d’évolution (ex : suivi de la législation) ou de migration (ex : transfert vers un nouveau système d’information)
– La structuration de l’application pour qu’elle puisse plus facilement s’adapter à une montée en charge.
– La mise en place de plate formes de développement et de qualification pour gérer les tests sans impacter la production
– L’utilisation de logiciels de gestion de versions (subversion, git, …) pour avoir une traçabilité du développement et retrouver le moment ou une régression est apparu par exemple.
– La gestion des sauvegardes, de leur intégrités et la vérification des processus de restaurations.
Déroulement d’un audit
Un audit se déroule en plusieurs phases :
– La première consiste à récupérer de l’information sur la partie à auditer en mettant par exemple en place des sondes (ex : utilisation des ressources CPU, mémoire et disque)
– La seconde consiste en l’analyse de ces données pour déterminer les points critiques à améliorer
– Ensuite, il y a la phase de conseil pour proposer la meilleure manière de résoudre les problèmes détectés.
– Enfin la dernière phase de vérification qui consiste a relevé de nouveau les informations pour évaluer l’impact des solutions correctives mises en place.
Black Box / White Box
La « boîte noire » (black box) consiste à analyser les informations que vos applications laissent fuiter sur la manière dont elles sont conçues.
Ces informations facilitent la vie des personnes malveillantes souhaitant s’introduire dans l’application.
Voici un parallèle rapide : si vous êtes un cambrioleur avec 2000 passe-partout fonctionnant chacun sur un coffre-fort particulier, si vous ne connaissez ni la marque ni le modèle du coffre-fort, cela vous obligera à tester les 2000 un par un.
La perte de temps rebutera un certain nombre d’attaquants et permettra au système de sécurité de détecter l’attaque et de la bloquer. L’attaquant préférera ainsi s’orienter vers un autre site plus verbeux.
Cette analyse est appelée « black box » car l’auditeur se met dans la même position qu’un attaquant.
L’analyse « white box » est l’opposé : l’auditeur a connaissance des technologies employées, du code source des applications et de leur configuration. Il va utiliser ces informations pour rechercher les failles de sécurité, les erreurs de configuration connues pour ces technologies ainsi que le respect des bonnes pratiques en termes de sécurité dans le code de l’application.
Besoin d’un audit sur la sécurité ou les performances de votre site web, Contactez Ice Development