Nos équipes se forment en continu pour renforcer la sécurité des sites web et des serveurs. Dernièrement, nous avons suivi une formation intra-entreprise centrée sur :
- la sécurisation des applications web (code, configuration, dépendances) ;
- la sécurisation des serveurs (OS, middleware, durcissement, supervision) ;
- les bonnes pratiques pour prévenir et corriger les failles.
Formation « sécurisation des sites web »
Nous avons notamment fait appel à iTrust, spécialiste cybersécurité, qui réalise aussi des audits sur nos projets les plus sensibles.
Menaces principales & parades
Voici les attaques les plus courantes et ce que nous mettons en place pour s’en prémunir :
- XSS (Cross-Site Scripting) : injection de scripts dans les pages.
Parades : échappement systématique, CSP, validation côté serveur, désactivation d’HTML brut. - Injections SQL / NoSQL : accès non autorisé à des données.
Parades : requêtes préparées/ORM, validation stricte, principe du moindre privilège. - XXE (XML External Entities) : exploitation de parsers XML.
Parades : désactiver les entités externes, utiliser des parseurs durcis. - CSRF (Cross-Site Request Forgery) : actions à l’insu de l’utilisateur.
Parades : jetons anti-CSRF, SameSite cookies, re-authentification des opérations sensibles. - RFI / LFI (Remote/Local File Inclusion) : inclusion de fichiers malveillants.
Parades : interdiction d’inclusion dynamique, listes blanches, droits FS minimaux. - Upload de fichiers : envoi de contenus exécutables ou trop lourds.
Parades : contrôle MIME/extension, antivirus, renommage, stockage hors webroot, transformation. - LDAP Injection : détournement de requêtes annuaire.
Parades : requêtes paramétrées, échappement, comptes techniques restreints. - Server-Side Code Injection : exécution de code côté serveur.
Parades : désactivation d’eval
, sandboxing, politiques de déploiement immuables. - HTTP Response Splitting : injection dans les en-têtes.
Parades : normalisation/échappement des en-têtes, refus des CR/LF.
Références incontournables
- OWASP : documentation de référence et bonnes pratiques (Top 10, ASVS…).
- OWASP ZAP : proxy d’audit pour tester automatiquement les applications web.
Nos outils & méthodes
- Kali Linux (sélection d’outils) pour des tests encadrés et légitimes : scanners de dépendances, crawlers, détecteurs d’injections, brute-force config-free, etc.
- Pipelines CI/CD avec scans SCA/SAST/DAST, revues de code, durcissement serveur, sauvegardes immutables, et supervision (journaux, alertes, IDS/WAF).
Audit de sécurité : ce que nous proposons
Quel que soit votre CMS ou framework, nous auditons :
- Application : code, dépendances, formulaires, authentification/autorisation, rôles, erreurs, journaux.
- Infrastructure : hébergement, configuration serveur, certificats TLS, en-têtes de sécurité, pare-feu/WAF, sauvegardes.
Au besoin, nous faisons intervenir des tiers reconnus (iTrust, Orange Cyberdéfense) pour un regard externe complémentaire.