Audit sécurité

L’audit de sécurité doit être piloté par le porteur de projet, par exemple avec l’assistance d’un Skills Angel volontaire. Il consiste à vérifier les aspects suivants de la solution informatique créée par le porteur de projet et son équipe :

  • Tests d’intrusion anonyme
  • Tests d’intrusion authentifiée
  • Audit de code, avec un focus sur l’authentification et la gestion de session
  • Identification des vulnérabilités de la solution
  • Audit du plan de sauvegarde
  • Audit du plan de reprise après sinistre

Cet audit prend en compte des menaces de sécurité OWASP

owasp

 

De nombreux outils sont à disposition pour faciliter la détection de failles de sécurité comme par exemple w3af, ou websecurify.

Ces outils ne remplacent pas une vérification humaine pour :

  • des revues de code
  • des études de failles de sécurité fonctionnelle

Dans une logique de prévention, il est préférable de sensibiliser les développeurs sur la sécurité et de s’appuyer sur des standards technique de sécurité applicative.