Protection de vos applications - où qu'elles se trouvent

Version imprimable, PDF et e-mail

Les applications sont partout, des datacenters aux smartphones. Le télétravail a démocratisé les applications en mode cloud, et leur multiplication se poursuit inexorablement. Cependant, elles font régulièrement l'objet de violations. Alors que faire pour les protéger ? Il est primordial de bien connaître les différents vecteurs de menace afin de bien appréhender le concept de sécurité des applications et de le mettre en place.

La sécurité des applications prend une tournure particulière en 2021. Elle a toujours constitué une considération majeure pour les secteurs présentant un risque d'attaque, mais le télétravail a rapidement amplifié ce phénomène (source : CIF). Nous avons déjà parlé des bots, cause de la majorité des tracas des clients et aujourd'hui en tête des méthodes d'intrusion les plus efficaces. Et le moins que l'on puisse dire, c'est qu'ils ne sont pas prêts de disparaître, leurs capacités ne cessant de s'enrichir. Si l'on ajoute le fait que 28 % des violations sont dues à une erreur humaine, on comprend qu'il est désormais capital de veiller à bien verrouiller la boutique.

Mais il n'y a pas que les bots !

Les menaces zero-day, les vulnérabilités dans les applications Web, les chaînes logistiques logicielles et les API sont autant de domaines bien réels qui nécessitent tout autant d'attention. Une étude récente révèle que sur 750 clients internationaux, 72 % ont subi au moins une violation de sécurité en raison d'une vulnérabilité liée à une application au cours de l'année écoulée, et plus d'une pour près de 40 % d'entre eux. Des exemples retentissants font d'ailleurs régulièrement la une de l'actualité.

Les entreprises s'orientent vers un développement axé sur les API, véritable paradis des développeurs. Leur intérêt est qu'elles permettent de développer de nouvelles applications en un temps record. Mais là encore se cache un risque d'exposition. Le fait d'étendre la visibilité de ces applications génère une toute nouvelle surface d'attaque. Et si on y ajoute les applications à page unique, alors une vigilance continue s'impose.

Sur 750 clients internationaux, 72 % ont subi au moins une violation de sécurité en raison d'une vulnérabilité liée à une application au cours de l'année écoulée, et plus d'une pour près de 40 % d'entre eux.Cliquez pour tweeter

Prenons le cas de l'encaissement d'un chèque. Il fut un temps où, certains s'en souviendront, nos grands-parents nous donnaient un chèque pour notre anniversaire et nous devions attendre l'ouverture de la banque pour l'encaisser, puis attendre encore. Plusieurs jours étaient nécessaires pour vérifier le compte d'origine, confirmer une série de détails, puis obtenir la réponse. Lorsque celle-ci arrivait, l'argent apparaissait enfin sur notre compte. Comment cela se passe-t-il aujourd'hui ? Un smartphone, une application : bienvenue dans le monde des virements instantanés. C'est super rapide, mais si on y réfléchit bien, cette opération ne se résume pas à une simple transaction. Elle nécessite toute une série d'opérations informatiques en coulisses, et tout cela doit être protégé.

La vérification des terminaux B2B est une affaire de machines : tout est fait par des API et toutes présentent des risques. Pourquoi ? Parce que par nature, les API exposent la logique des applications, les identifiants et les jetons des utilisateurs ainsi que toutes sortes d'informations personnelles, le tout à la vitesse du cloud... et depuis votre téléphone ! Une application basée sur API présente un risque nettement plus élevé qu'une application Web classique en raison de son mode de déploiement, qui permet d'accéder directement à toutes les données sensibles.

Que ce soit pour naviguer sur Facebook ou consulter les cours de la bourse, nos téléphones interagissent avec des serveurs de datacenters via des API. Si vous surfez en direct, ces API doivent constamment s'authentifier via de grandes chaînes alphanumériques, générant un flux qui doit être inspecté et sécurisé en temps réel. À la différence du chèque, il n'est pas question d'attendre que quelqu'un revienne de son déjeuner pour savoir si la demande est légitime.

Une application basée sur API présente un risque nettement plus élevé qu'une application Web classique en raison de son mode de déploiement, qui permet d'accéder directement à toutes les données sensibles.Cliquez pour tweeter

Bien qu'elles raffolent des API, les entreprises éprouvent de grandes difficultés à en assurer la sécurité. Les bots sont à l'affût, prêts à bondir sur la moindre API non sécurisées 24 h/24 et 7 j/7. Une fois entrés, ils peuvent accéder aux données des clients ou aux informations des employés et les compromettre comme bon leur semble. Les exemples de déploiement d'API test avec accès direct aux données de production sans aucune sécurité ne manquent pas (la violation de Facebook en 2018 en est l'illustration parfaite). Toutefois, l'étude révèle une statistique encourageante : 75 % des personnes interrogées déclarent reconnaître les risques des API en matière de sécurité malgré les difficultés qu'elles éprouvent à cet égard. Cela montre bien que cet aspect commence à être pris au sérieux.

La sécurité des API constitue aujourd'hui une préoccupation de premier ordre. Recourir à une plateforme complète, évolutive et facile à déployer nous semble essentiel pour protéger les applications, où qu'elles se trouvent. Le meilleur moyen de protéger vos applications, et par conséquent vos API, contre les menaces citées dans ce billet est de mettre en place un Web Application Firewall (WAF) avec suivi actif des menaces. Pour vous éviter d'être les prochains sur la liste, nous vous conseillons de vous protéger contre les menaces zero-day, les bots, les attaques DDoS, la compromission de la chaîne logistique et le credential stuffing, mais aussi de renforcer la sécurité côté client ainsi que vis-à-vis des employés malintentionnés.

Si vous souhaitez en savoir plus, le directeur technique de Barracuda, Fleming Shi, ainsi que d'autres experts de Barracuda se sont penchés sur les attaques actuelles et probables contre les API et les chaînes logistiques lors d'un récent séminaire, disponible ici à la demande.

 

Remonter en haut de page
Tweeter
Partager
Partager