Lycée
Ecole
Collège

CYBERSECU, on vous dit tout sur les audits d’Orange Cyberdéfense

, Mis à jour le 25 mars 2024

Depuis le début de la crise sanitaire en France, les cybermalveillances ont plus que doublé d’après les Services du Premier ministre (DILA). Ces menaces touchent toutes les organisations et tous les secteurs. Thématique de plus en plus centrale, nous instruisons  donc régulièrement des audits menés par des spécialistes externes. Aujourd’hui, nous avons choisi de vous parler de la dernière série d’audits de sécurité réalisée par Orange Cyberdéfense.

Orange Cyberdéfense : 3 audits entre mars et août 2022

Nos plateformes ont bénéficié d’une analyse en profondeur par les équipes d’Orange Cyberdéfense, connaissant successivement 3 audits en l’espace de 6 mois.

Mars 2022 : Audit #1

En mars 2022, le premier audit visait à contrôler la robustesse de l’authentification, du cloisonnement vertical, et du filtrage anti-XSS*. Autrement dit, répondre à ces 3 questions :
●  Est-il possible pour un utilisateur sans compte de s’authentifier ?
● Est-il possible pour un utilisateur authentifié d’augmenter ses privilèges d’administration ?
● Est-il possible pour un utilisateur authentifié de tromper d’autres utilisateurs avec des techniques de phishing ?

Cette première étude a permis d’identifier une faille de contournement du filtre anti-XSS, corrigée en moins de 24h. Au-delà de ce constat purement technique, nos équipes ont pu analyser que, sur différents projets, le rôle d’administration était trop largement distribué sans véritable contrôle et surtout sans “maintenance”. En coordination avec les différents porteurs de projet, une action de “nettoyage” ainsi que de prévention a donc été mise en route.

L’audit a également mis en lumière de nombreuses qualités implémentées depuis la création de la démarche : « Les tests réalisés ont permis de constater que de bonnes pratiques de sécurité ont été appliquées sur le périmètre concerné par l’audit » Extrait du rapport d’Audit Cyberdéfense.« 

Avril 2022 : Audit #2

Un second audit démarre dès le mois d’avril 2022. Il s’agit cette fois de contrôler les protections anti-SQL* de la plateforme. Une faille est identifiée sur une des 50 applications (l’application Assistance). Cette faille sera corrigée dans les 24 heures suivant sa détection.

En parallèle, un contrôle à 360 degrés des différentes applications met en évidence de nombreux points positifs de sécurité :
● Faible exposition de service : le serveur expose uniquement les services nécessaires à son bon fonctionnement, réduisant ainsi le périmètre d’attaque.
●  Chiffrement des communications : la communication entre le client et le serveur est chiffrée à l’aide d’un protocole robuste, assurant l’intégrité et la confidentialité des données échangées.
●  Cloisonnement vertical : aucun défaut de cloisonnement vertical n’ayant été identifié, un utilisateur ne peut donc pas élever ses privilèges.
●  Cookie de session : le cookie de session principal, permettant notamment d’accorder des privilèges aux utilisateurs authentifiés, est configuré selon les bonnes pratiques de sécurité.

Août 2022 : Audit #3

A l’été 2022, Orange Cyberdéfense poursuit son 3ème audit, visant à évaluer les mécanismes de sécurité technique mis en place sur nos plateformes. Ce sont cette fois tous les codes source qui sont passés au rayon X. Trois failles mineurs d’injection SQL sont identifiées, ainsi que quelques faiblesses dans le contrôle des droits d’accès sur certaines applications peu sensibles. Ces failles ont été résolues en l’espace de 72 heures.

Cette dernière étude a également permis d’approuver différents choix techniques contribuant à un haut niveau de sécurité :
● L’utilisation de frameworks robustes,
● Des mécanismes d’authentification efficaces,
● Une surface d’attaque réduite sans compte utilisateur.

Zoom sur Orange Cyberdéfense

Orange Cyberdefense est le référent européen de la cybersécurité. Son expertise et son savoir-faire sont reconnus par l’Agence Nationale de Sécurité Systèmes d’Informations (ANSSI), qui a décerné à l’entreprise 3 qualifications des plus exigeantes, dont la qualification de “Prestataire d’Audit de Sécurité des Systèmes d’Informations”. Orange CyberDéfense est référencé par l’Etat depuis février 2021 en tant que partenaire de confiance sur la plateforme de cybermaillveillance.gouv.fr pour accompagner les entreprises et les collectivités territoriales, victimes d’incidents de sécurité ou souhaitant sensibiliser leurs salariés à une bonne hygiène cyber.

Édifice, 9 audits depuis sa création

Depuis 2014, nos plateformes ont fait l’objet de 9 audits de sécurité. Orange Cyberdéfense n’est donc pas la première agence à passer au crible nos ENT. Chacun de ces audits a fait l’objet de recommandations que nous mettons un point d’honneur à mettre en place dans les meilleurs délais. Les cyberattaques font désormais partie du quotidien des entreprises digitales. D’ailleurs, en septembre dernier, c’est Orange Cyberdefense elle-même qui était victime d’une fuite de données. Afin d’anticiper ces risques et de réagir avec efficacité et réactivité, nous sommes accompagnés par un expert, Auditeur Protection des Données Personnelles certifié AFNOR et DPO certifié par la CNIL, intervenant également auprès du ministère de l’Intérieur. Face à l’augmentation des menaces, ces différents dispositifs contribuent à toujours garantir à nos utilisateurs un haut niveau de protection.

A lire aussi

Collège
18 décembre 2023

Dans le Calvados, l’Equiquiz éveille l’intérêt des collégiens pour les chevaux

Le Calvados, terre de cheval par excellence, tenait à associer ses collégiens aux Equidays. Durant un mois, entre le 13…
Lire la suite
Collège
5 septembre 2024

Défi handicap : les collégiens de Seine-et-Marne donnent de la voix pour l’inclusion

Les collégiens de Seine-et-Marne ont pris la plume, le micro et sont même passés devant la caméra pour sensibiliser aux…
Lire la suite
Lycée
Ecole
Collège
13 septembre 2024

Les Grandes Causes d’Édifice

Chez Édifice, nous croyons en un avenir meilleur et durable, façonné par des actions concrètes. C’est pourquoi nous avons défini…
Lire la suite