Sécurité applicative : s’affranchir des mesures réactionnaires du passé
Les applications, et surtout les applications Web, sont un vecteur d’attaque privilégié par les cybercriminels. L’adoption des applications mobiles et des services hébergés dans le Cloud impose de s’intéresser aux mesures de sécurité déployées pour se prémunir contre de telles attaques.
Une récente enquête du SANS Institute
sur les programmes et pratiques de sécurité applicative a permis
d’en savoir plus sur ce qui fonctionne en matière de sécurité
applicative et pourquoi. En
apparence, la sécurité applicative semble prise en considération
par les
organisations.
Deux tiers des 700 organisations interrogées par SANS ont déjà
déployé un programme de sécurité applicative, ce qui prouve
qu’elles sont conscientes de la menace et qu’elles tentent
d’améliorer la protection de leurs applications. Cependant, seules
23 % des entreprises disposent d’une politique complète qui couvre
l’ensemble du cycle de vie de leurs applications.
De
nombreuses raisons peuvent expliquer pourquoi ce type de programme
n’est pas déployé de manière optimale. Les principaux obstacles
sont notamment l’obtention du financement et de l’accord des
dirigeants ainsi qu’une collaboration peu synchronisée entre
l’équipe chargée du développement des logiciels et celle en
charge de la sécurité du système d’information. En outre, plus
d’un quart des organisations ne connaissent même pas le nombre
d’applications qu'elles possèdent. Dans bien des cas, cela
s’explique par le fait que les personnes interrogées travaillent
au sein de grandes organisations qui se sont développées sur
plusieurs années au rythme de fusions et d’acquisitions ou dans
des entreprises d’envergure internationale privées de direction
centralisée. Moins de 10% des organisations s’emploient à
analyser la sécurité de l’ensemble de leurs applications
critiques avant et pendant la phase de production. Enfin, seul un
faible pourcentage d’entreprises dispose de programmes complets
pour vérifier la fiabilité des applications développées par des
éditeurs tiers ou des sous-traitants.
Une constatation qui doit encourager la mise en place d’un dispositif efficace
Même si la sécurité applicative est reconnue comme un risque de sécurité, beaucoup reste à faire pour transformer cette constatation en action efficace. Et cela ne pourra pas se faire du jour au lendemain. En effet, plus d’un tiers des organisations ne disposent toujours pas d’un programme de sécurité applicative et la plupart de ceux déployés sont encore immatures. Et comme seulement 23 % des entreprises interrogées utilisent ces programmes depuis plus de cinq ans, il est peu probable que cela puisse constituer une solution complète.
Déployer
un programme de sécurité applicative efficace prend du temps et
exige l’implication totale de l’entreprise toute entière.
Plusieurs facteurs doivent être pris en compte.
Tout
d’abord, il faut définir des politiques de sécurité, assurer une
formation et la mise en place d’une équipe, puis choisir et
déployer des outils et, aussi, apprendre aux utilisateurs à s’en
servir correctement.
La conduite du changement est essentielle à tous les niveaux de
l’organisation.
Créer un cycle de vie de développement de
systèmes (SDLC) fiable en intégrant des exigences de sécurité,
une modélisation des menaces ainsi que des analyses et des tests du
code prend également du temps. Enfin, seul un programme mature
permet de créer un mécanisme de retour d’expérience efficace et
de favoriser une collaboration fructueuse entre les équipes chargées
de la sécurité et du développement des logiciels. Peu
d’organisations, en particulier les grands comptes, sont capables
de mener à bien l’ensemble de ce programme en quelques années
seulement.
Seul
un faible pourcentage d’organisations disposant d’un programme de
sécurité applicative traite près de 100% de leurs applications
critiques. Nombreuses sont les sociétés qui ne savent même pas
quelles applications elles gèrent. Dans ce cas, comment
pourraient-elles être certaines de les sécuriser ?
Technologies
émergentes : les organisations doivent assumer leur propre
sécurité
La
plupart des entreprises se concentrent sur les applications qui
présentent aujourd’hui le plus gros risque potentiel, c’est-à-dire
les applications Web en frontal avec leurs clients. Néanmoins,
la plupart d’entre elles ne sont pas en mesure d’identifier et de
gérer les menaces de demain.
Les
vulnérabilités émergentes liées aux applications mobiles et au
Cloud apporteront leur cortège de nouveaux problèmes que les
entreprises ne sont pas encore prêtes à affronter. Les
principaux outils sur lesquels elles s’appuient actuellement pour
sécuriser leurs applications Web ne sont pas aussi efficaces contre
ces nouveaux types d’application. Les tests dynamiques et
d’intrusion restent principalement destinés aux applications Web
et il n’existe pas aujourd’hui d’équivalent du pare-feu pour
applications Web ou
du « patch
virtuel » pour les applications
mobiles, par exemple.
La
technologie progresse rapidement, tout comme les menaces et les
risques.
En
interne, les différents départements de l’entreprise devront
collaborer étroitement au développement d’applications mobiles et
Cloud. Les équipes chargées de la sécurité de l’information, du
développement ainsi que les différents départements et entités de
l’entreprise devront travailler ensemble pour que les effets
négatifs des nouvelles technologies ne l’emportent pas sur les
bénéfices que ces dernières procurent.
Lorsqu’elles
sont confrontées à des risques de sécurité émergents, les
entreprises ne peuvent pas se permettre de dépendre uniquement de la
réactivité de leurs éditeurs de logiciels et fabricants.
Au contraire, elles doivent prendre des mesures davantage proactives
pour intégrer la sécurité à leurs processus de développement
d’applications. Pour
déployer un processus complet de ce type, il faut attribuer la
responsabilité de la sécurité applicative à un département
spécifique.
Désignation de la responsabilité
Le problème majeur est l’absence d’affectation des initiatives de sécurité applicative à un service particulier. Pour que les mesures de sécurité soient efficaces, il est nécessaire de savoir à qui ils incombent. L’équipe chargée du développement doit avoir, ou au moins, partager une responsabilité importante en matière de sécurité applicative. Mais aujourd’hui ce n’est le cas que dans 35% des organisations.
Un problème pour toutes les entreprises, grandes ou petites
Croire
que les menaces de sécurité ne concernent que les grands groupes
est dangereux. Même s’il est évident que l’attention se
focalise sur les grandes entreprises victimes de cybercriminels, la
menace reste très importante pour les entreprises de plus petite
taille. 15 % seulement des personnes interrogées dans le cadre de
cette enquête travaillent dans des structures employant moins de 100
personnes tandis que plus de 50 % d’entre elles sont employées par
des multinationales d’envergure.
Ce qui ne veut pas dire qu’une
menace plus grande pèse sur les grandes entreprises, mais plutôt
que les PME utilisent et développent des applications logicielles
sans être suffisamment informées des risques encourus en termes de
sécurité applicative. Par conséquent, davantage doit être fait
pour sensibiliser ces organisations, plus particulièrement dans la
mesure où les PME jouent un rôle de plus en plus important dans des
domaines traitant des données sensibles, notamment dans le domaine
de la santé.
Passer à l’action
Même
si le risque ne peut jamais être complètement écarté, les
entreprises peuvent prendre des mesures pour déployer un programme
de sécurité applicative complet. Les attaques étant de plus en
plus ciblées, chaque personne doit être consciente des menaces et
savoir comme les résoudre pour sécuriser son propre espace de
travail. C’est en investissant dans chacun de leurs composants que
les entreprises pourront bâtir de solides fondations pour contrer
les intrus.
Même si la vulnérabilité des applications est
désormais reconnue, une vision sur le long terme et complète doit
prévaloir pour sécuriser autant que possible l’activité de
l’entreprise.
Les
organisations peuvent désormais prendre l’initiative en matière
de lutte contre la cybercriminalité et elles doivent tout mettre en
œuvre pour éviter de répéter les erreurs du passé et prendre les
devants en développant des programmes de sécurité applicative
proactifs. La sécurité doit désormais être intégrée et non pas
rajoutée aux applications. Il est urgent que les organisations
s’affranchissent des mesures réactionnaires du passé et qu’elles
définissent elles-mêmes les règles du jeu.