Pourquoi réaliser un audit de code ?

Qu’est-ce qu’un audit de code ?

Un audit de code est l’analyse du code source d’une partie ou l’intégralité d’une application (Web, mobile ou logiciel) permettant d’identifier des vulnérabilités, une mauvaise implémentation ou un défaut de configuration lors de son développement.

L’audit de code est divisé en deux parties. La première consiste à effectuer une revue de code automatisée de façon statique afin d’identifier les vulnérabilités les plus courantes sur le langage utilisé.

S’en suit ensuite une analyse manuelle effectuée par un professionnel visant à détecter des vulnérabilités qu’un outil n’est pas en mesure de découvrir. Il faut donc procéder à une lecture du code afin de comprendre son fonctionnement et trouver des moyens de contournement aux protections mises en place.

Tout d’abord, un audit de code permet d’avoir un regard extérieur sur l’application afin de mettre le point sur des erreurs de sécurité technique (Injection de code SQL, XSS, code arbitraire…) ou fonctionnelle (contournement de l’authentification, modification des cookies, etc) auxquelles les développeurs n’auraient pas pensé.

Réaliser un audit de code avant une mise en production ou lorsque de nombreux bugs sont remarqués est très pertinent étant donné qu’il va permettre de vérifier si l’application est suffisamment robuste pour se protéger des cyber-attaques qui se multiplient et ainsi protéger les données hébergées.

Durant l’audit, chaque point de l’OWASP (pour une application web) ou OSSTMM (pour une application compilée) doit être traité. Le langage utilisé peut varier (PHP, Java, C, C#, C++ …) et l’auditeur saura s’adapter en conséquence.

CCL : Les bénéfices de l’audit de code

A l’issue de l’audit de code, un rapport est rédigé par les auditeurs afin de mettre en place un correctif sur les vulnérabilités identifiées. Ces dernières sont triées par sévérité et par priorité de correction.

Chaque vulnérabilité possède des conseils et recommandations pour pouvoir être corrigée dans les règles de l’art.

Afin de garantir confidentialité, disponibilité et intégrité des données des utilisateurs sur une application, l’audit de code couplé à un test d’intrusion est un rempart très efficace face aux cyber-menaces.

Article rédigé par Antoine

Cookie	Durée	Description
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durée	Description
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.