Prise en main de la sécurité des applications : Scott Treacy

Version imprimable, PDF et e-mail

Sécuriser les applications Web peut sembler compliqué. Même si vous avez de l'expérience en sécurité réseau, cela vous oblige à acquérir de nouvelles compétences et à apprendre un nouveau langage.

Cela dit, il existe un centre complet et gratuit de ressources en ligne pour aider les entreprises et leurs employés à débuter.

L'OWASP (ou Open Web Application Security Project) est un organisme à but non lucratif visant à améliorer la sécurité des logiciels, de leur conception à leur déploiement. Il propose des ressources générales sur la sécurité des logiciels, mais aussi une foule d'excellents outils sur la sécurisation des applications Web.

Le site owasp.org explique clairement les principales techniques utilisées pour attaquer les applications ainsi que les principaux types de vulnérabilité. Chaque type de vulnérabilité et d'attaque est décrit dans un article clair et détaillé incluant les facteurs de risque, des exemples, des méthodes de test et de protection ainsi que des liens vers d'autres ressources pertinentes. Il permet également de se familiariser avec le jargon et fournit suffisamment de détails pour se lancer dans la mise en place de mécanismes de défense contre les attaques les plus courantes.

Une section distincte est également consacrée aux contrôles, c'est-à-dire aux différentes catégories de mesures que vous pouvez mettre en place pour protéger votre entreprise.

Les principales failles de sécurité des applications Web à connaître

Néanmoins, l'OWASP est avant tout connu pour son rapport sur les 10 principales failles de sécurité des applications Web.

Cette liste fournit une représentation précise des menaces qui pèsent sur les applications. Bien que non exhaustive, elle constitue une base solide pour toute stratégie de défense. Elle peut également être utilisée comme base de référence générale lors des appels d'offres afin de vérifier que le fournisseur adopte les bonnes mesures.

Toutefois, la liste ne se limite pas aux 10 menaces ou attaques les plus courantes. Huit d'entre elles correspondent aux vulnérabilités les plus souvent signalées et identifiées dans les applications. Les deux autres sont réservées à des questions qui, selon la communauté, pourraient poser problème dans un avenir proche mais ne figurent pas dans les données historiques recueillies. Cette liste offre donc un panorama de la situation actuelle et future.

Si vous connaissez les 10 principales failles de sécurité répertoriées par l'OWASP (OWASP Top 10) et que vous avez mis en place des mécanismes de défense ciblés, vous bénéficiez d'une base solide pour protéger vos applications Web. Et bien sûr, Barracuda peut vous aider à approfondir votre stratégie de défense grâce aux solutions Web Application Firewall (WAF) et WAF-as-a-Service.

En tête de la liste, on trouve actuellement les failles d'injection, une attaque courante exploitant l'ancien code qui permet aux pirates informatiques d'utiliser des champs de données non vérifiés pour introduire des commandes au sein de vos bases de données.

En deuxième position figurent les problèmes liés à l'authentification, qui permettent aux pirates informatiques de compromettre les mots de passe ou les jetons de session, et donc de compromettre l'identité des utilisateurs ou de tirer parti de sessions authentiques que les utilisateurs n'ont pas pris le soin de fermer.

Barracuda peut vous aider à approfondir votre stratégie de défense grâce aux solutions Web Application Firewall (WAF) et WAF-as-a-Service.Cliquez pour tweeter

Conseils pratiques et outils pour sécuriser et tester les applications mobiles et Web

L'OWASP propose également des tutoriels, des guides pratiques ainsi que des procédures détaillées visant à sécuriser et à tester les applications mobiles et Web. Il fournit plusieurs outils open source, dont un ensemble de règles génériques de détection des attaques à utiliser avec les pare-feux open source chargés de la sécurité de base des applications Web. D'autres outils sont également disponibles afin d'analyser les composants de vos applications existantes en profondeur à la recherche de vulnérabilités connues ou de code obsolète au sein de vos logiciels.

La liste OWASP Top 10 est sur le point d'être actualisée. L'organisme vient en effet de demander aux membres de mettre à jour les deux failles surprise. Il s'agit-là d'un point essentiel dans le domaine de la sécurité des applications Web, étant donné que le paysage des menaces évolue beaucoup plus rapidement que celui de la sécurité des réseaux ou du matériel.

L'OWASP Top 10 est un excellent moyen de se tenir au courant des menaces actuelles, mais il convient de garder à l'esprit que la sécurité des applications Web évolue jour après jour.

Découvrez comment Barracuda peut vous aider

Bien sûr, vous pouvez vous libérer de cette contrainte : Barracuda vous propose un gestionnaire de vulnérabilités complémentaire (Vulnerability Manager) dont le rôle est de vérifier la présence de centaines de vulnérabilités sur votre site Web, y compris celles figurant dans la liste OWASP Top 10. Ce rapport peut être associé aux solutions Web Application Firewall et au WAF-as-a-Service de Barracuda, qui peuvent alors remédier automatiquement aux vulnérabilités non corrigées à l'aide de la fonctionnalité Vulnerability Remediation Service.

Remonter en haut de page
Tweeter
Partager
Partager