CYBERSECU, on vous dit tout sur les audits d’Orange Cyberdéfense
Depuis le début de la crise sanitaire en France, les cybermalveillances ont plus que doublé d’après les Services du Premier ministre (DILA). Ces menaces touchent toutes les organisations et tous les secteurs. Thématique de plus en plus centrale, nous instruisons donc régulièrement des audits menés par des spécialistes externes. Aujourd’hui, nous avons choisi de vous parler de la dernière série d’audits de sécurité réalisée par Orange Cyberdéfense.
Orange Cyberdéfense : 3 audits entre mars et août 2022
Nos plateformes ont bénéficié d’une analyse en profondeur par les équipes d’Orange Cyberdéfense, connaissant successivement 3 audits en l’espace de 6 mois.
Mars 2022 : Audit #1
En mars 2022, le premier audit visait à contrôler la robustesse de l’authentification, du cloisonnement vertical, et du filtrage anti-XSS*. Autrement dit, répondre à ces 3 questions :
● Est-il possible pour un utilisateur sans compte de s’authentifier ?
● Est-il possible pour un utilisateur authentifié d’augmenter ses privilèges d’administration ?
● Est-il possible pour un utilisateur authentifié de tromper d’autres utilisateurs avec des techniques de phishing ?
Cette première étude a permis d’identifier une faille de contournement du filtre anti-XSS, corrigée en moins de 24h. Au-delà de ce constat purement technique, nos équipes ont pu analyser que, sur différents projets, le rôle d’administration était trop largement distribué sans véritable contrôle et surtout sans “maintenance”. En coordination avec les différents porteurs de projet, une action de “nettoyage” ainsi que de prévention a donc été mise en route.
L’audit a également mis en lumière de nombreuses qualités implémentées depuis la création de la démarche : « Les tests réalisés ont permis de constater que de bonnes pratiques de sécurité ont été appliquées sur le périmètre concerné par l’audit » Extrait du rapport d’Audit Cyberdéfense.«
Avril 2022 : Audit #2
Un second audit démarre dès le mois d’avril 2022. Il s’agit cette fois de contrôler les protections anti-SQL* de la plateforme. Une faille est identifiée sur une des 50 applications (l’application Assistance). Cette faille sera corrigée dans les 24 heures suivant sa détection.
En parallèle, un contrôle à 360 degrés des différentes applications met en évidence de nombreux points positifs de sécurité :
● Faible exposition de service : le serveur expose uniquement les services nécessaires à son bon fonctionnement, réduisant ainsi le périmètre d’attaque.
● Chiffrement des communications : la communication entre le client et le serveur est chiffrée à l’aide d’un protocole robuste, assurant l’intégrité et la confidentialité des données échangées.
● Cloisonnement vertical : aucun défaut de cloisonnement vertical n’ayant été identifié, un utilisateur ne peut donc pas élever ses privilèges.
● Cookie de session : le cookie de session principal, permettant notamment d’accorder des privilèges aux utilisateurs authentifiés, est configuré selon les bonnes pratiques de sécurité.
Août 2022 : Audit #3
A l’été 2022, Orange Cyberdéfense poursuit son 3ème audit, visant à évaluer les mécanismes de sécurité technique mis en place sur nos plateformes. Ce sont cette fois tous les codes source qui sont passés au rayon X. Trois failles mineurs d’injection SQL sont identifiées, ainsi que quelques faiblesses dans le contrôle des droits d’accès sur certaines applications peu sensibles. Ces failles ont été résolues en l’espace de 72 heures.
Cette dernière étude a également permis d’approuver différents choix techniques contribuant à un haut niveau de sécurité :
● L’utilisation de frameworks robustes,
● Des mécanismes d’authentification efficaces,
● Une surface d’attaque réduite sans compte utilisateur.
Zoom sur Orange Cyberdéfense
Orange Cyberdefense est le référent européen de la cybersécurité. Son expertise et son savoir-faire sont reconnus par l’Agence Nationale de Sécurité Systèmes d’Informations (ANSSI), qui a décerné à l’entreprise 3 qualifications des plus exigeantes, dont la qualification de “Prestataire d’Audit de Sécurité des Systèmes d’Informations”. Orange CyberDéfense est référencé par l’Etat depuis février 2021 en tant que partenaire de confiance sur la plateforme de cybermaillveillance.gouv.fr pour accompagner les entreprises et les collectivités territoriales, victimes d’incidents de sécurité ou souhaitant sensibiliser leurs salariés à une bonne hygiène cyber.
Édifice, 9 audits depuis sa création
Depuis 2014, nos plateformes ont fait l’objet de 9 audits de sécurité. Orange Cyberdéfense n’est donc pas la première agence à passer au crible nos ENT. Chacun de ces audits a fait l’objet de recommandations que nous mettons un point d’honneur à mettre en place dans les meilleurs délais. Les cyberattaques font désormais partie du quotidien des entreprises digitales. D’ailleurs, en septembre dernier, c’est Orange Cyberdefense elle-même qui était victime d’une fuite de données. Afin d’anticiper ces risques et de réagir avec efficacité et réactivité, nous sommes accompagnés par un expert, Auditeur Protection des Données Personnelles certifié AFNOR et DPO certifié par la CNIL, intervenant également auprès du ministère de l’Intérieur. Face à l’augmentation des menaces, ces différents dispositifs contribuent à toujours garantir à nos utilisateurs un haut niveau de protection.
comments
Add comment