Connexion
/ Inscription
Mon espace

Développement d’applications sécurisées : pas de panacée universelle, mais besoin d’une stratégie d’entreprise efficace

BE - Entreprises & initiatives
ABONNÉS

Stéphane de Saint AlbinPar Stéphane de Saint Albin, Directeur Commercial et Marketing DenyAll

Les stratégies visant à sécuriser applications et services web étaient au coeur des échanges avec de nombreux RSSI lors des dernières Assises de la Sécurité. Tous s’accordent pour dire que la protection des applications modernes est loin d’être une question triviale, d’une part, et qu’aucun outil ou processus ne saurait sécuriser les applications « une fois pour toute », d’autre part. Le débat ancestral sur la primauté de la formation des développeurs par rapport aux contrôles de sécurité n’est plus d’actualité. Par contre, toute stratégie d’entreprise doit partir d’une analyse des risques encourus et définir des priorités d’investissement, en fonction de leur efficacité prévisible à limiter l’impact des attaques.

Les défis à relever pour opérer le tournant de la sécurisation applicative

Une étude Forrester commissionnée par DenyAll en Mars 2013 a mis en avant les principaux défis auxquels les entreprises européennes font face pour développer et mettre en oeuvre des applications sécurisées :

  • Le premier défi est le manque d'expertise en sécurité applicative, qui se traduit par une pression forte pour les équipes en charge de l'IT et de la sécurité, face à des métiers qui ne cessent de déployer des applications Web et mobiles, nouveaux vecteurs privilégiés des attaques ciblant le système d’information ;

  • Le deuxième défi est celui de la scalabilité : l'expertise en sécurité applicative étant rare, les entreprises peinent à déployer les compétences qu’elles possèdent sur l'ensemble de leurs projets applicatifs ;

  • Le troisième défi concerne la sécurisation des applications métiers anciennes : mobiliser les ressources nécessaires pour modifier le code d’une application sur laquelle une vulnérabilité a été découverte peut prendre des mois, voire même s’avérer impossible, pour peu que l’entreprise n’ait pas accès au code source. Pendant ce temps, comment éviter que ces vulnérabilités ne soit exploitées ?

Même en disposant de toute la compétence requise et en faisant abstraction de la pression du business, il n’y a pas d’absolu en matière de sécurité applicative, comme en sécurité en général. Quand bien même le code des applications serait exempt de toute faille à un instant donné, cet état ne saurait qu’être temporaire. En effet, les applications et services web évoluent très vite, au rythme des besoins des métiers. Et la complexité des infrastructures applicatives est telle que de nouvelles vulnérabilités ne tarderont pas à être identifiées, quelque part dans la pile.

Les solutions stratégiques pour garantir une sécurisation optimale

Si le risque zéro n’existe pas, une stratégie efficace peut cependant être mise en place, qui s’appuie sur la formation des équipes de développement, et l’intégration dans le cycle de développement logiciel des technologies visant à identifier les vulnérabilités et à rendre leur exploitation plus difficile :

  • Les outils de détection statique des vulnérabilités (SAST), permettent aux développeurs d’identifier dans leur code les failles de sécurité qui seront potentiellement exploitables par des hackers, une fois l’application mise en production ;

  • Les outils de détection dynamique des vulnérabilités (DAST), permettent d'automatiser l'identification des vulnérabilités identifiables dans l’application tout au long du cycle, du développement à la mise en production ;

  • Les parefeux applicatifs Web (WAF), fournissent une protection efficace, extensible facilement à l'ensemble du parc pour les logiciels standards du marché, les progiciels et applications d’entreprise développées en interne comme par des tiers ;

  • Le patching virtuel, résultat de l'intégration des deux technologies précédentes (DAST et WAF), permet de réduire la période de temps pendant laquelle les données sensibles sont exposées aux attaques, et d'ajuster la politique de sécurité applicative à l’évolution des menaces.

Comme le souligne le rapport de Forrester, la formation continue des équipes de développement demeure un composant essentiel de toute stratégie de sécurité applicative. Il est important que les développeurs acquièrent une bonne culture des vulnérabilités, des attaques qui les exploitent et des bonnes pratiques de codage. Une majorité des professionnels de la sécurité applicative qui ont participé à cette étude (60%), pensent cependant que la formation des développeurs a un impact limité, ou que cet investissement n'est pas suffisant en lui-même.

Stéphane de Saint Albin est Directeur Commercial et Marketing de DenyAll, éditeur français de logiciel spécialisé en sécurité applicative.

Pour en savoir plus : www.denyall.com


Lectures du moment, tribunes d'experts, management et entrepreneuriat...

 

 

Lire la suite...


Articles en relation

BE - Entreprises & initiatives
ABONNES
Etat des lieux du coworking en Ile-de-France

Accroissement du nombre de travailleurs indépendants, essor de la digitalisation et du télétravail, nouvelles générations plus mobiles et en quête d'autonomie… le coworking répond aux multiples enjeux posés par la transformation des modes de travail, ainsi qu'aux stratégies d'entreprises de plus en plus soucieuses de flexibilité... Le phénomène est en pleine expansion depuis 2015 sur le marché immobilier des bureaux. Knight Frank dresse le bilan de la situation en Ile-de-France. Un phénomène...

BE - Entreprises & initiatives
ABONNES
4 salariés sur 10 se plaignent d'un mauvais équilibre vie pro / vie perso

75% des salariés européens préfèrent garder bien distinctes et séparées leur vie professionnelle et leur vie personnelle, selon l'étude « Révélez vos talents » d'ADP (Automatic Data Processing). L'étude, qui a interrogé plus de 2 500 travailleurs en France, en Allemagne, en Italie, aux Pays-Bas et au Royaume Uni, a conclu que, malgré ces préférences, près d'un tiers (31%) de ces salariés ne pensent pas avoir un bon équilibre vie professionnelle - vie privée dans leur situation actuelle. Les...

BE - Entreprises & initiatives
ABONNES
Depuis 2017, les tensions géopolitiques augmentent les pertes associées au risque politique

Willis Towers Watson et Oxford Analytica publient leur enquête annuelle* sur le risque politique. Selon les résultats de cette enquête, les préoccupations géopolitiques grandissantes provoquent une augmentation des risques politiques. Ainsi 55% des entreprises internationales générant un CA supérieur à 1 Md$ ont vécu au moins une perte liée au risque politique supérieure à 100 M$. L'étude souligne par ailleurs le phénomène selon lequel les crises économiques vécues par les marchés émergents...

BE - Entreprises & initiatives
ABONNES
Mauvaises performances du marché mondial des fusions et acquisitions, sauf en Europe

Le marché mondial des fusions-acquisitions (M&A) a sous-performé pour un 4ème trimestre consécutif, selon les derniers résultats du Quarterly Deal Performance Monitor (QDPM), l'observatoire trimestriel des fusions-acquisitions de Willis Towers Watson. Les opérations évaluées entre 100 M$ et plus de 10 Mds$ ont sous-performé l'indice  mondial de 1,8 point (points de pourcentage) en moyenne sur les deux dernières années. Maud Mercier, directrice de l'activité Global Solutions and Services, au...