L’application Osuny présente le niveau de sécurité "Bon"

Suite à un audit de sécurité réalisé par Synacktiv et financé par la Région Nouvelle-Aquitaine, Osuny atteint le plus haut niveau de sécurité

Photo by FlyD on Unsplash

Les tests menés par Synacktiv pour Noesya ont permis de constater que l’application Osuny possède, après correction des vulnérabilités identifiées lors de la première phase d’audit, un bon niveau de sécurité. En effet, le scénario de compromission de compte identifié lors des tests initiaux n’est plus exploitable en l’état. L’ensemble des vulnérabilités a été corrigé.

Les experts Synacktiv ont par ailleurs constaté de bonnes pratiques de sécurité sur l'ensemble de l'infrastructure. L'authentification est correctement implémentée et impose l'utilisation d'un double facteur, ce qui réduit énormément les risques de compromission de comptes. Les consultants n'ont pas identifié de vulnérabilité permettant à un attaquant anonyme d'accéder à des données ou d'effectuer des actions sur l'application. La gestion des droits et des autorisations est également de bonne qualité et permet une isolation efficace entre les différentes instances Osuny et entre les différents rôles au sein d'une instance. Enfin, la grande majorité des entrées utilisateur est correctement traitée ce qui prévient les attaques classiques par injection.

Cet audit a été réalisé en boîte blanche. L'accès au code source, à la documentation, ainsi que plusieurs comptes avec des niveaux de droits différents ont été fournis aux consultants Synacktiv. Synacktiv a identifié 5 vulnérabilités lors des premiers tests : toutes ont été corrigées.

Synacktiv a pour objectif d’aider les entreprises à évaluer et améliorer le niveau de sécurité de leur système d'information. La société a été fondée en 2012 par deux experts en sécurité informatique. Ils n’ont de cesse depuis ce jour de faire de Synacktiv la référence française en matière de sécurité offensive. Synacktiv est une entreprise agréée par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information. 

https://www.synacktiv.com 

L'audit a été financé par la Région Nouvelle-Aquitaine, que nous remercions vivement !