Un Web Application Firewall peut vous être utile. Voilà pourquoi.

Version imprimable, PDF et e-mail

La sécurité des applications étant souvent négligée ou mal comprise, de nombreuses entreprises se retrouvent à la merci des criminels du monde entier. Le dernier rapport d'enquête de Verizon sur les violations de données (DBIR) révèle que les attaques contre les applications Web ont doublé au cours de l'année passée, atteignant près de 43 % de toutes les attaques analysées dans le rapport. En outre, 55 % de toutes les violations concernaient la criminalité organisée et 30 % les menaces internes.

Le rapport indique également que les erreurs de configuration des systèmes de sécurité sont en augmentation constante depuis 2017, avec un bond de 5 % en un an. À ce propos, vous trouverez sur notre blog le cas d'Equifax, dans lequel une faille de sécurité a entraîné une gigantesque violation de données. Le rôle du Web-Application Firewall (WAF) est de protéger les applications contre les menaces externes et internes. L'organisation OWASP (Open Web Application Security Project) identifie les dix menaces les plus sérieuses qui pèsent sur les applications Web dans l'OWASP Top 10. Ce classement se fonde sur la recherche dans le domaine de la sécurité et est mis à jour tous les deux ou trois ans.

Les menaces telles que celles répertoriées par l'OWASP Top 10 sont dues aux multiples composants que renferme chaque application et à la difficulté à tous les sécuriser. De nombreuses applications Web comprennent des plugins et des intégrations provenant de développeurs externes, et tant les développeurs que les éditeurs d'applications jouent un rôle dans le maintien de la sécurité de ce code. Or, au moindre composant compromis, c'est l'application Web toute entière qui est menacée. Dans le cas d'Equifax, un correctif de sécurité était disponible pour le composant vulnérable en question bien avant l'attaque. Mais la société a tout simplement omis de l'installer. De leur côté, les WAF détectent et bloquent les attaques qui cherchent à exploiter les vulnérabilités du code.

Les applications Web sont également sujettes à des attaques qui ne reposent pas sur des vulnérabilités. Par exemple :

Les attaques DDoS : Une attaque par déni de service distribué peut faire planter votre application, perturber vos activités et vous faire perdre temps, argent et clients. Leurs types tout comme leurs mobiles sont très variés : de la volonté de nuire à celle de couvrir les traces d'une attaque simultanée visant à dérober des données ou des fonds.Parmi les attaques DDoS les plus importantes de l'histoire, on peut citer celle perpétrée contre Github, qui aurait été motivée par des raisons politiques selon toute vraisemblance. L'attaque DDoS contre DYN, rendue possible par les quelque 100 000 dispositifs du botnet Mirai, est également historique par son ampleur et son impact. Aujourd'hui, le crime-as-a-service permet à n'importe qui d'engager un pirate pour lancer une attaque DDoS sur votre entreprise.

Le credential stuffing : Ce type d'attaque utilise des outils automatisés et des combinaisons de noms d'utilisateur et de mots de passe volés pour tenter de se connecter à plusieurs sites en ligne. L'objectif est d'accéder aux comptes des victimes afin de leur soutirer de l'argent ou des données. L'efficacité de cette attaque tient au fait que les gens utilisent souvent le même mot de passe sur différents comptes et ne recourent pas à l'authentification multi-facteurs pour les sécuriser. Les attaques réussies contre Disney+, State Farm et Nintendo se sont soldées par la divulgation des informations privées des clients et l'utilisation frauduleuse de leurs cartes de crédit. Or, se remettre d'une violation de données peut se révéler difficile et coûteux pour une marque.

Web Application Firewall (WAF) de Barracuda protège vos applications contre ces attaques, celles répertoriées dans l'OWASP Top 10 et bien d'autres. Barracuda WAF-as-a-Service est un service cloud de sécurité complet qui protègent vos applications Web en seulement quelques minutes.

Pour essayer Barracuda WAF-as-a-Service gratuitement pendant 30 jours, rendez-vous sur notre site Web.

 

 

 

Remonter en haut de page
Tweeter
Partager
Partager