CapDémat est une solution qui est régulièrement auditée. Ces démarches sont réalisées dans deux cadres différents : Audit réalisé à la demande l’association communauté CapDémat ou à la demande d’un adhérent.

Depuis 2017 , pas moins de quatre audits ont été effectués par trois entreprises reconnues dans le domaine de la cybersécurité : Orange (deux audits), CapGemini et aDvens

La sécurité étant un élément important à prendre en compte lors de l’adoption d’une solution, nous nous efforçons de mettre en applications les éléments recommandés lors de ces audits.

Des tests d’intrusions ont été réalisés sur des plateformes de production et ont révélé des améliorations de sécurité à mettre en œuvre. Ils ont notamment mis en évidence des anomalies sur la configuration des serveurs qui dépendent de l’architecture technique de déploiement, non liées à la solution CapDémat. Afin d’aider au mieux nos adhérents dans le déploiement de leur solution, nous avons mis à disposition une documentation sur les préconisations techniques. Nous la mettons régulièrement à jour notamment avec les conseils livrés lors des audits. Nous avons également appliqué ces règles sur nos propres plateformes afin de mieux sécuriser nos serveurs.

Sur un audit fait en 2019 par un acteur majeur de la cyber-sécurité en France (cap Gemini), la sécurité a été qualifiée de moyenne sur la version 2 au moment de l’intrusion et de très satisfaisante en cas de mise en œuvre des corrections préconisées. L’association a fait le nécessaire dans les versions suivantes V3.1.x pour atteindre ce niveau de sécurité.

Les différents audits constituent une démarche itérative nous permettant une amélioration continue de la plateforme CapDémat évolution. A ce titre, la nouvelle version majeure de CapDémat prévue pour 2021, fera l’objet d’un nouvel audit.

Démarche et méthodologie

La démarche proposée par tous les acteurs ayant réalisé un audit pour CapDémat est sensiblement la même

• Cartographie système et réseau : Cette première étape d’analyse permet d’obtenir un premier niveau d’information sur l’exposition du serveur. Le niveau de sécurité des couches système et réseau est évalué de manière manuelle (tel que réalisé dans les tests d’intrusion externes et internes) ou automatisée (mise en évidence des principales failles liées à des défauts de configuration et manques de mises à jour).
• Cartographie applicative : Elle permet d’obtenir des informations sur le service de publication de la solution.
• Test de la session authentifiée : Validation du niveau de sécurité de la partie authentifiée de la solution afin par exemple de contrôler la robustesse du formulaire d’authentification ou encore de valider la bonne gestion des sessions utilisateurs.
• Analyse systématique de l’ensemble des fonctionnalités du site : contrôle de l’ensemble des fonctionnalités accessibles sur le site afin de valider la présence de vulnérabilités applicatives sur les différents paramètres.

Les principaux objectifs sont :

• Fournir une analyse des lacunes en ce qui concerne les normes de sécurité applicables (évaluation du niveau de sécurité actuel) ;
• Proposer une cartographie des risques et une liste des possibles points de compromis du service et de ses données (valorisation des résultats de l’audit) ;
• Aider les équipes technique dans l’arbitrage et la mise en œuvre adéquate des mesures correctives en proposant des recommandations réalistes et applicables à court et à long terme (restitution des résultats et des recommandations)