Sécurité applicative : s’affranchir des mesures réactionnaires du passé

Les applications, et surtout les applications Web, sont un vecteur d’attaque privilégié par les cybercriminels. L’adoption des applications mobiles et des services hébergés dans le Cloud impose de s’intéresser aux mesures de sécurité déployées pour se prémunir contre de telles attaques.

Une récente enquête du SANS Institute sur les programmes et pratiques de sécurité applicative a permis d’en savoir plus sur ce qui fonctionne en matière de sécurité applicative et pourquoi. En apparence, la sécurité applicative semble prise en considération par les organisations. Deux tiers des 700 organisations interrogées par SANS ont déjà déployé un programme de sécurité applicative, ce qui prouve qu’elles sont conscientes de la menace et qu’elles tentent d’améliorer la protection de leurs applications. Cependant, seules 23 % des entreprises disposent d’une politique complète qui couvre l’ensemble du cycle de vie de leurs applications.
De nombreuses raisons peuvent expliquer pourquoi ce type de programme n’est pas déployé de manière optimale. Les principaux obstacles sont notamment l’obtention du financement et de l’accord des dirigeants ainsi qu’une collaboration peu synchronisée entre l’équipe chargée du développement des logiciels et celle en charge de la sécurité du système d’information. En outre, plus d’un quart des organisations ne connaissent même pas le nombre d’applications qu'elles possèdent. Dans bien des cas, cela s’explique par le fait que les personnes interrogées travaillent au sein de grandes organisations qui se sont développées sur plusieurs années au rythme de fusions et d’acquisitions ou dans des entreprises d’envergure internationale privées de direction centralisée. Moins de 10% des organisations s’emploient à analyser la sécurité de l’ensemble de leurs applications critiques avant et pendant la phase de production. Enfin, seul un faible pourcentage d’entreprises dispose de programmes complets pour vérifier la fiabilité des applications développées par des éditeurs tiers ou des sous-traitants.

Une constatation qui doit encourager la mise en place d’un dispositif efficace

Même si la sécurité applicative est reconnue comme un risque de sécurité, beaucoup reste à faire pour transformer cette constatation en action efficace. Et cela ne pourra pas se faire du jour au lendemain. En effet, plus d’un tiers des organisations ne disposent toujours pas d’un programme de sécurité applicative et la plupart de ceux déployés sont encore immatures. Et comme seulement 23 % des entreprises interrogées utilisent ces programmes depuis plus de cinq ans, il est peu probable que cela puisse constituer une solution complète.

Déployer un programme de sécurité applicative efficace prend du temps et exige l’implication totale de l’entreprise toute entière. Plusieurs facteurs doivent être pris en compte. Tout d’abord, il faut définir des politiques de sécurité, assurer une formation et la mise en place d’une équipe, puis choisir et déployer des outils et, aussi, apprendre aux utilisateurs à s’en servir correctement. La conduite du changement est essentielle à tous les niveaux de l’organisation.
Créer un cycle de vie de développement de systèmes (SDLC) fiable en intégrant des exigences de sécurité, une modélisation des menaces ainsi que des analyses et des tests du code prend également du temps. Enfin, seul un programme mature permet de créer un mécanisme de retour d’expérience efficace et de favoriser une collaboration fructueuse entre les équipes chargées de la sécurité et du développement des logiciels. Peu d’organisations, en particulier les grands comptes, sont capables de mener à bien l’ensemble de ce programme en quelques années seulement.
Seul un faible pourcentage d’organisations disposant d’un programme de sécurité applicative traite près de 100% de leurs applications critiques. Nombreuses sont les sociétés qui ne savent même pas quelles applications elles gèrent. Dans ce cas, comment pourraient-elles être certaines de les sécuriser ?

Technologies émergentes : les organisations doivent assumer leur propre sécurité

La plupart des entreprises se concentrent sur les applications qui présentent aujourd’hui le plus gros risque potentiel, c’est-à-dire les applications Web en frontal avec leurs clients. Néanmoins, la plupart d’entre elles ne sont pas en mesure d’identifier et de gérer les menaces de demain.
Les vulnérabilités émergentes liées aux applications mobiles et au Cloud apporteront leur cortège de nouveaux problèmes que les entreprises ne sont pas encore prêtes à affronter. Les principaux outils sur lesquels elles s’appuient actuellement pour sécuriser leurs applications Web ne sont pas aussi efficaces contre ces nouveaux types d’application. Les tests dynamiques et d’intrusion restent principalement destinés aux applications Web et il n’existe pas aujourd’hui d’équivalent du pare-feu pour applications Web ou du « patch virtuel » pour les applications mobiles, par exemple.
La technologie progresse rapidement, tout comme les menaces et les risques. En interne, les différents départements de l’entreprise devront collaborer étroitement au développement d’applications mobiles et Cloud. Les équipes chargées de la sécurité de l’information, du développement ainsi que les différents départements et entités de l’entreprise devront travailler ensemble pour que les effets négatifs des nouvelles technologies ne l’emportent pas sur les bénéfices que ces dernières procurent.
Lorsqu’elles sont confrontées à des risques de sécurité émergents, les entreprises ne peuvent pas se permettre de dépendre uniquement de la réactivité de leurs éditeurs de logiciels et fabricants. Au contraire, elles doivent prendre des mesures davantage proactives pour intégrer la sécurité à leurs processus de développement d’applications. Pour déployer un processus complet de ce type, il faut attribuer la responsabilité de la sécurité applicative à un département spécifique.

Désignation de la responsabilité

Le problème majeur est l’absence d’affectation des initiatives de sécurité applicative à un service particulier. Pour que les mesures de sécurité soient efficaces, il est nécessaire de savoir à qui ils incombent. L’équipe chargée du développement doit avoir, ou au moins, partager une responsabilité importante en matière de sécurité applicative. Mais aujourd’hui ce n’est le cas que dans 35% des organisations.

Un problème pour toutes les entreprises, grandes ou petites

Croire que les menaces de sécurité ne concernent que les grands groupes est dangereux. Même s’il est évident que l’attention se focalise sur les grandes entreprises victimes de cybercriminels, la menace reste très importante pour les entreprises de plus petite taille. 15 % seulement des personnes interrogées dans le cadre de cette enquête travaillent dans des structures employant moins de 100 personnes tandis que plus de 50 % d’entre elles sont employées par des multinationales d’envergure.
Ce qui ne veut pas dire qu’une menace plus grande pèse sur les grandes entreprises, mais plutôt que les PME utilisent et développent des applications logicielles sans être suffisamment informées des risques encourus en termes de sécurité applicative. Par conséquent, davantage doit être fait pour sensibiliser ces organisations, plus particulièrement dans la mesure où les PME jouent un rôle de plus en plus important dans des domaines traitant des données sensibles, notamment dans le domaine de la santé.

Passer à l’action

Même si le risque ne peut jamais être complètement écarté, les entreprises peuvent prendre des mesures pour déployer un programme de sécurité applicative complet. Les attaques étant de plus en plus ciblées, chaque personne doit être consciente des menaces et savoir comme les résoudre pour sécuriser son propre espace de travail. C’est en investissant dans chacun de leurs composants que les entreprises pourront bâtir de solides fondations pour contrer les intrus.
Même si la vulnérabilité des applications est désormais reconnue, une vision sur le long terme et complète doit prévaloir pour sécuriser autant que possible l’activité de l’entreprise.
Les organisations peuvent désormais prendre l’initiative en matière de lutte contre la cybercriminalité et elles doivent tout mettre en œuvre pour éviter de répéter les erreurs du passé et prendre les devants en développant des programmes de sécurité applicative proactifs. La sécurité doit désormais être intégrée et non pas rajoutée aux applications. Il est urgent que les organisations s’affranchissent des mesures réactionnaires du passé et qu’elles définissent elles-mêmes les règles du jeu.