L’approche consulting permet de pousser plus loin l’analyse suite à un test d’intrusion, et de se focaliser sur des questions de sécurité spécifiques.
Dans le cadre d’un projet de développement ou de refonte d’une plateforme web, il est conseillé d’intégrer une réflexion sécurité dès la phase de conception technique et fonctionnelle.
Confronter des spécifications techniques et fonctionnelles au point de vue d’un attaquant permet d’éviter les pièges classiques et d’incorporer des prérequis sécurité dans le cahier des charges.
L’approche méthodologique est la suivante :
Réunion de lancement
Cette première phase permet de prendre connaissance du projet de développement et de collecter des éléments sur le contexte technique et fonctionnel du client.
Analyse
Cette phase consiste à analyser la documentation d’architecture fournie par le client, afin d’identifier les faiblesses techniques ainsi que les faiblesses liées à la logique métier.
Restitution
La phase de restitution permet de remettre au client des recommandations techniques de sécurité réparties en 10 thèmes clés (authentification, management de session, confidentialité, intégrité, continuité de service, protections techniques de contrôle de l’application, protections fonctionnelles de contrôle de l’application, éléments à tracker et logguer, contraintes de conformité, contrainte de configuration).
L’audit en boite blanche d’un serveur permet d’accéder à un niveau d’information inaccessible pour un pentester (sauf cas de faille majeure) dans le but de sécuriser au maximum la configuration du serveur.
Cette approche consiste à conduire une analyse du niveau de sécurité en ayant un accès administrateur au serveur.
L’audit en boite blanche d’un serveur inclut les aspects suivants :
L’audit inclut également des tests conduits depuis l’extérieur du serveur, similaires aux tests effectués pendant un pentest, afin de détecter des services ouverts non-sécurisés, des logiciels dépréciés, des franchissements d’éléments de sécurité, ou des erreurs de configuration.
Sur le même principe, l'audit en boite blanche d’une application permet d’accéder à un niveau d’information inaccessible pour un pentester (sauf cas de faille majeure) dans le but de sécuriser au maximum la couche applicative.
Cette approche consiste à analyser en détails le code source de l’application afin de mesurer son niveau de sécurité et de proposer des mesures correctives.
Cela est particulièrement utile dans deux cas de figure :
L’audit en boite blanche d’une application inclut l’analyse des aspects suivants (liste non exhaustive) :
Cela permet de proposer des correctifs visant à se protéger de l'ensemble des vulnérabilités techniques connues (listées par l'OWASP notamment, telles que les injections, XSS, CSRF, XXE...) ainsi que des failles logiques liées aux règles métier implémentées dans la solution.
L’audit en boite blanche d’un site internet basé sur un CMS permet de rechercher en profondeur les vulnérabilités typiques de ce type de sites, ou de retrouver l’origine des problèmes de sécurité ayant abouti à un piratage.
L’approche déployée lors d’un audit CMS est double :
Les détails de l’intervention seront adaptés selon que l’audit est commandité dans un objectif de prévention ou dans l’objectif de rétablir un site ayant été victime d’une (ou plusieurs) attaques.
Ce type de prestation s’applique à différents CMS, dont notamment : Wordpress, Drupal, Joomla, Prestashop, Magento...