mar. Déc 10th, 2019
ntt - rene bader

Les six idées reçues qui mettent en danger la sécurité des applications

Par René Bader, Lead Consultant Secure Business Applications EMEA pour la division sécurité de NTT Ltd

Pour les entreprises, rien n’est plus important que la sécurité de leurs applications critiques. Car lorsque cette sécurité est compromise et que les données tombent aux mains de personnes non autorisées, leur réputation s’en trouve entachée et les clients se tournent vers la concurrence. Bien souvent, néanmoins, les entreprises ne prennent pas les mesures de sécurité nécessaires pour se protéger.

Il existe six croyances erronées et pourtant répandues qui pèsent sur la sécurité des applications de nombreuses entreprises.

 

Idée reçue n°1 : Les cybercriminels s’en prennent aux infrastructures plutôt qu’aux applications

Il s’agit là d’une méprise courante. En réalité, plus de 50% des attaques se produisent au niveau de la couche applicative, qui n’est pas protégée par les pare-feux traditionnels. À l’échelle de l’infrastructure, il faudrait protéger les applications critiques à l’aide d’un pare-feu applicatif permettant de contrôler les entrées, les sorties et les accès aux services externes, et de les bloquer s’ils ne respectent pas les politiques de sécurité. 

De manière bien plus importantes de nos jours, la sécurité applicative commence dès le développement de l’application. C’est pourquoi les développeurs doivent respecter les normes courantes et les bonnes pratiques en matière de sécurité afin de produire du code sécurisé. La gestion efficace des correctifs joue également un rôle déterminant tout au long du cycle de vie des applications (cf. idée reçue n°5).

 

Idée reçue n°2 : Faire des tests d’intrusion est suffisant

La plupart des propriétaires d’application pensent que la sécurité d’une application est garantie par un test d’intrusion concluant. Cela peut être le cas pour des applications simples, mais les applications d’entreprises sont bien plus sophistiquées, et des tests d’intrusion, seuls, ne sauraient suffire à évaluer leur sécurité. Pour les processus de développement, de tests et de déploiement qui impliquent plusieurs BU, des mesures supplémentaires de sécurité doivent être mises en place. Il est recommandé de mettre en œuvre un cycle de vie de développement logiciel (comme OpenSAMM, ou BSIMM) couvrant également les tests de sécurité pendant les phases de développement et d’exploitation et de mettre en place une stratégie de sécurité dédiée aux applications critiques. Les applications développées en interne, comme les extensions pour SAP, doivent faire l’objet d’une attention particulière. De nos jours, plus de 70% des fonctionnalités SAP sont développées par les clients eux-mêmes. Pour les logiciels propriétaires dont le client est personnellement responsable, la mise en place de mesures de sécurité à l’aide de modèles de maturité tels que OpenSAMMM est particulièrement importante.

 

Idée reçue n°3 : Les équipes n’ont besoin de rien d’autre que des outils de sécurité

Nombreuses sont les entreprises qui se reposent trop sur leurs outils de sécurité, comme la gestion des correctifs ou des configurations. Néanmoins, dans le paysage applicatif actuel, la communication est de plus en plus ouverte. En matière d’informatique, tout communique. À côté de ça, les BU, elles, communiquent encore trop peu les unes avec les autres, chacune se concentrant sur ses propres outils, sans que ceux-ci ne soient intégrés au sein d’une stratégie de sécurité informatique globale. Les experts en sécurité, qui prônent la mise en place d’une stratégie de sécurité holistique, doivent impérativement être impliqués dans tout nouveau lancement et décision majeure. 

 

Idée reçue n°4 : La cybersécurité est la responsabilité de l’équipe informatique

45% des décideurs estiment que la cybersécurité est la responsabilité du département informatique, et non de l’ensemble de l’entreprise. Ce chiffre est inquiétant si l’on considère que n’importe quel employé représente pour un cybercriminel un point d’entrée dans l’entreprise. C’est pourquoi il est important de sensibiliser les collaborateurs aux risques en leur proposant régulièrement des formations et en les informant des vecteurs d’attaques actuels. Si de telles mesures ne sont pas suffisantes pour empêcher les cybercriminels d’utiliser des techniques d’ingénierie sociale telles que le phishing pour accéder à des données sensibles, elles renforcent les obstacles auxquels ils font face.

 

Idée reçue n°5 : Les correctifs peuvent avoir un impact notable sur la disponibilité des entreprises 

En moyenne, les applications vulnérables non corrigées circulent sur internet pendant plusieurs centaines de jours. Cette longue période permet aux cybercriminels de prendre connaissance des nouvelles vulnérabilités. Selon un rapport 2018 de WhiteHat Security sur la sécurité applicative, la plus grande faiblesse des applications en matière de sécurité sont les bibliothèques non corrigées. Ce manque de patches est notamment lié à l’idée fausse selon laquelle la mise à jour provoquerait des temps d’arrêts trop longs des systèmes informatiques, ce qui entraînerait une perte financière pour l’entreprise. En règle générale, cette supposition est inexacte. Dans le cadre de la mise en œuvre d’une stratégie de gestion des correctifs adaptée à l’environnement applicatif de l’entreprise, comprenant la classification des risques pour chaque application, l’application de correctifs n’entraîne qu’un arrêt de courte durée des composants individuels. Une autre possibilité consiste à effectuer celles-ci lors des fenêtres de maintenance classiques ou la nuit, lorsque la majorité des applications sont peu utilisées.

 

Idée reçue n°6 : Lorsqu’une entreprise est victime d’un piratage, il n’y a plus rien à faire

Lorsqu’une attaque survient, le mot d’ordre est de rester calme et d’éviter toute réaction court-termiste inadaptée qui pourrait entraîner des dommages supplémentaires, comme débrancher le courant et ainsi détruire les contrôleurs de disque. En effet, ce type d’action rend impossible la reconstitution de l’attaque et l’identification des vecteurs d’attaque. Au contraire, il est important de réunir autant de preuves et de données que possible et de se faire accompagner par des experts en sécurité le plus rapidement. La mise en place, en amont, d’un plan de réponse aux incidents peut se révéler d’une aide précieuse dans le cas d’un incident de sécurité.

1 thought on “Les six idées reçues qui mettent en danger la sécurité des applications

Comments are closed.

%d blogueurs aiment cette page :