Analyse de Vulnérabilité avec Veracode
Contexte
Dans le cadre de mon travail à l’OFII, j’ai été chargée de trouver un outil capable d’analyser le code source des applications pour détecter les vulnérabilités, telles que les failles de sécurité, les erreurs de programmation ou les risques potentiels d’attaques. Cette mission m’a été confiée dans le but de renforcer la sécurité des développements internes. Pour ce projet, j’ai collaboré étroitement avec un développeur, car il s’agissait d’une analyse de code nécessitant une compréhension technique approfondie et une coordination avec les équipes de développement.
Déroulement du Projet
Mon rôle consistait à rechercher et évaluer différents outils d’analyse de vulnérabilités dans le code. Avec le développeur, nous avons défini les critères essentiels : détection précise des failles (comme les injections SQL, les XSS), facilité d’intégration dans les processus existants, génération de rapports exploitables, et support pour plusieurs langages de programmation utilisés à l’OFII. Après avoir testé plusieurs solutions, comme SonarQube ou Checkmarx, nous avons finalement choisi Veracode.
Pourquoi Veracode ?
Veracode a été retenu pour plusieurs raisons. Tout d’abord, il offre une analyse statique et dynamique très performante, couvrant à la fois le code source et les applications en exécution. Ensuite, sa capacité à s’intégrer facilement dans les pipelines CI/CD était un atout majeur pour les équipes de développement. Enfin, ses rapports détaillés et ses recommandations claires ont permis de prioriser les corrections efficacement, ce qui était crucial pour notre DSI. Ce choix a été validé après des tests concluants montrant une détection supérieure des vulnérabilités critiques par rapport aux autres outils évalués.
Documentation
Pour ce projet, j’ai intégré un PDF contenant une synthèse des résultats des tests effectués avec Veracode, ainsi que les différents choix d’outils que nous avons recherchés. Ce document a été modifié en raison de la confidentialité de certaines informations, qui ont été supprimées. Il est accessible ci-dessous pour plus de détails :