Par Stéphane de Saint Albin, Directeur Commercial et Marketing DenyAll
Les stratégies visant à sécuriser applications et services web étaient au coeur des échanges avec de nombreux RSSI lors des dernières Assises de la Sécurité. Tous s’accordent pour dire que la protection des applications modernes est loin d’être une question triviale, d’une part, et qu’aucun outil ou processus ne saurait sécuriser les applications « une fois pour toute », d’autre part. Le débat ancestral sur la primauté de la formation des développeurs par rapport aux contrôles de sécurité n’est plus d’actualité. Par contre, toute stratégie d’entreprise doit partir d’une analyse des risques encourus et définir des priorités d’investissement, en fonction de leur efficacité prévisible à limiter l’impact des attaques.
Les défis à relever pour opérer le tournant de la sécurisation applicative
Une étude Forrester commissionnée par DenyAll en Mars 2013 a mis en avant les principaux défis auxquels les entreprises européennes font face pour développer et mettre en oeuvre des applications sécurisées :
-
Le premier défi est le manque d'expertise en sécurité applicative, qui se traduit par une pression forte pour les équipes en charge de l'IT et de la sécurité, face à des métiers qui ne cessent de déployer des applications Web et mobiles, nouveaux vecteurs privilégiés des attaques ciblant le système d’information ;
-
Le deuxième défi est celui de la scalabilité : l'expertise en sécurité applicative étant rare, les entreprises peinent à déployer les compétences qu’elles possèdent sur l'ensemble de leurs projets applicatifs ;
-
Le troisième défi concerne la sécurisation des applications métiers anciennes : mobiliser les ressources nécessaires pour modifier le code d’une application sur laquelle une vulnérabilité a été découverte peut prendre des mois, voire même s’avérer impossible, pour peu que l’entreprise n’ait pas accès au code source. Pendant ce temps, comment éviter que ces vulnérabilités ne soit exploitées ?
Même en disposant de toute la compétence requise et en faisant abstraction de la pression du business, il n’y a pas d’absolu en matière de sécurité applicative, comme en sécurité en général. Quand bien même le code des applications serait exempt de toute faille à un instant donné, cet état ne saurait qu’être temporaire. En effet, les applications et services web évoluent très vite, au rythme des besoins des métiers. Et la complexité des infrastructures applicatives est telle que de nouvelles vulnérabilités ne tarderont pas à être identifiées, quelque part dans la pile.
Les solutions stratégiques pour garantir une sécurisation optimale
Si le risque zéro n’existe pas, une stratégie efficace peut cependant être mise en place, qui s’appuie sur la formation des équipes de développement, et l’intégration dans le cycle de développement logiciel des technologies visant à identifier les vulnérabilités et à rendre leur exploitation plus difficile :
-
Les outils de détection statique des vulnérabilités (SAST), permettent aux développeurs d’identifier dans leur code les failles de sécurité qui seront potentiellement exploitables par des hackers, une fois l’application mise en production ;
-
Les outils de détection dynamique des vulnérabilités (DAST), permettent d'automatiser l'identification des vulnérabilités identifiables dans l’application tout au long du cycle, du développement à la mise en production ;
-
Les parefeux applicatifs Web (WAF), fournissent une protection efficace, extensible facilement à l'ensemble du parc pour les logiciels standards du marché, les progiciels et applications d’entreprise développées en interne comme par des tiers ;
-
Le patching virtuel, résultat de l'intégration des deux technologies précédentes (DAST et WAF), permet de réduire la période de temps pendant laquelle les données sensibles sont exposées aux attaques, et d'ajuster la politique de sécurité applicative à l’évolution des menaces.
Comme le souligne le rapport de Forrester, la formation continue des équipes de développement demeure un composant essentiel de toute stratégie de sécurité applicative. Il est important que les développeurs acquièrent une bonne culture des vulnérabilités, des attaques qui les exploitent et des bonnes pratiques de codage. Une majorité des professionnels de la sécurité applicative qui ont participé à cette étude (60%), pensent cependant que la formation des développeurs a un impact limité, ou que cet investissement n'est pas suffisant en lui-même.
Stéphane de Saint Albin est Directeur Commercial et Marketing de DenyAll, éditeur français de logiciel spécialisé en sécurité applicative.
Pour en savoir plus : www.denyall.com
Lectures du moment, tribunes d'experts, management et entrepreneuriat...