Audits de sécurité
L'ANSSI a lancé le service MonServiceSécurisé afin de permettre une autoévaluation sur les principes de sécurité mis en place dans votre produit. C'est sous forme de QCM donc même sans connaissance poussée en cybersécurité vous allez pouvoir faire un tour d'horizon, cela vous donnera des idées sur ce qu'il reste de judicieux à faire. À noter que les questions sont génériques, certaines peuvent ne pas être adaptées à votre produit.
Une fois que vous vous sentez prêt, demandez à votre RSSI de jeter un œil à votre QCM afin qu'il puisse apporter son expertise. Si c'est concluant vous pourrez ensemble passer à l'étape suivante sur MonServiceSécurisé afin de demander une homologation. Cela permet d'avoir une trace datée de tout ce qui a été diagnostiqué, et ça permet d'avoir une note sur 5 pour situer où l'on est exactement. La note reste relative à votre contexte puisque toutes les questions n'ont peut-être pas été répondues : vous pourriez avoir 3/5 que ça serait très bien.
Vous l'aurez compris, MonServiceSécurisé est juste déclaratif, personne ne va venir inspecter votre code source ou tenter de faire du pentesting (tests d'intrusion). Mais dans le cas où vous hébergez (rien qu'un petit peu) : des données sensibles comme des données de santé, financières, judiciaires… Il faut passer un vrai audit de sécurité. L'ANSSI en elle-même ne pratique pas les audits mais a des partenaires privés certifiés pour cela (vous pouvez demander des conseils au support MonServiceSécurisé si vous ne savez pas à qui vous adresser).
Cela va dépendre de votre produit et du prestataire mais comptez dans les 10 000 euros pour un audit. Ils vont ensuite vous fournir un rapport avec toutes les failles détectées. À vous de corriger celles qui sont pertinentes (le contre-audit n'est pas une obligation).
Les prestataires pour les audits font en partie tourner des logiciels automatisés pour tenter des intrusions. Si un vrai audit n'est pas requis par votre projet, vous pouvez toujours faire tourner ce type de logiciels vous-même pour détecter de potentielles brèches. Si cela vous intéresse, jetez un œil du côté de SAST, DAST et IAST.