Audit Cyber Sécurité
Un regard extérieur indispensable

Votre application Drupal est hautement exposée : 29% des cyber-attaques se font via votre application Drupal et 31% via votre Cloud sur lequel repose votre application (selon Hiscox)

A l’heure où la cybercriminalité est devenue la 3ème puissance économique mondiale en pleine croissance au rythme de 15%/an (source: club des juristes), il faut prendre la menace très au sérieux et obtenir un regard extérieur.

La nécessité d’un regard extérieur

La diversité des points d’entrée et des stratégies déployées par les cybercriminels est telle qu’il est devenu extrêmement difficile de maîtriser la sécurité globale d’une application Drupal en étant soit même le concepteur/développeur.

En effet, une équipe technique a besoin d’intégrer énormément d’informations et de concepts afin de réellement maîtriser par elle-même la sécurité : la Security-By-Design, recommandations de l’OWASP, standard PCI, le catalogue de CVE (Common Vulnerabilities and Exposures), etc... Sans compter la forte maîtrise de la solution Drupal elle-même.

C’est pourquoi, seuls des directeurs Technique et des Ingénieurs en CyberSécurité externes à votre organisation, maîtrisant Drupal et ayant déjà analysé des centaines de projets, auront l’expertise et l’attitude nécessaire pour vous sécuriser.

AODB, recommandé par de nombreuses organisations

Nos cellules de direction technique ont conçu et optimisé des processus d’audits efficaces depuis plus de 10 ans. Nous sommes sollicités par de nombreuses organisations afin de les aider à sécuriser davantage leurs applications Drupal.

Les axes de notre Audit de Cyber-Sécurité Drupal

Notre objectif est d’effectuer une analyse détaillée de votre surface d'exposition à la cybercriminalité et de vous restituer un plan d’action priorisé afin d’améliorer votre cyber-protection.

• Serveur et Cloud :

• Revue du chiffrement des données en base.
• Revue des permissions du système de fichiers.
• Configuration des fichiers privés (si pertinent).
• Vérification de la gestion des settings
• Vérification du système de sauvegarde automatisé.
• Vérification des mises à jour de sécurité pour l’ensemble des logiciels serveur (PHP, Composer, Linux, Docker…).
• Revue de la configuration du serveur web “Apache” / “Nginx”
• Vérification de la présence de fichiers sensibles sur le serveur et en particulier dans le docroot

• Sécurité Drupal

• Revue détaillée des mises à jour de sécurité disponibles (cœur et modules contribués).
• Revue de sécurité du code des modules contrib non couvert par la "security advisory".
• Vérification du code des thèmes custom (fichiers PHP, scripts JS et templates).
• Revue de sécurité du code des modules Custom.
• Vérification de non-présence de données sensibles dans les fichiers de configurations YAML.
• Revue de l’architecture des fichiers de configurations.
• Revue des configurations globales liées à la sécurité (non utilisation de filtres PHP, permissions des vues, compte admin désactivé, etc...)
• Mise en place des CSPs.
• Revue de tous les formulaires publics et de la bonne utilisation de la Form API (validation et traitement des données utilisateurs).

Vous pouvez ajouter des volets d’analyses complémentaires afin d'étendre l'audit à votre écosystème complet :

• un audit Security-By-Design qui va concerner votre architecture logicielle et votre automatisation des processus (CI/CD)
• un audit de CyberSécurité de votre Cloud qui va concerner la configuration de votre cloud et de votre infrastructure digitale. L’utilisation de services d’hébergement en mode cloud ne garantit pas automatiquement un très bon niveau de sécurité. Une mauvaise configuration serveur peut fragiliser la sécurité.
• un audit de tous les End-points de votre éco-système digital, intégrant ainsi l’ensemble des applications tierces avec lesquelles le système échange.
• un audit de performance, souvent demandé en complément de la sécurité. Ce type d’audit permet d’identifier les raisons pour lesquelles un site est trop lent, et de les corriger au travers de recommandations.