Intrapole
VOUS  TES ICI : Accueil » Alertes Sécurité »

Sécurisez vos applications Web dès leur conception

Les applications, notamment celles exposées sur le Web, sont les cibles privilégiées des attaques. Les sécuriser dès la phase de conception et tout au long du cycle de développement devient désormais une nécessité.

Dans le domaine de la sécurité, 90 % des investissements des entreprises se font sur les éléments réseaux. Mais le réseau n’est la cible que de 25 % des attaques, contre 75 % pour les applications, selon Gartner. La facilité pour trouver des outils d’attaque et surtout la négligence des entreprises quant à la sécurité logicielle font des applications une cible privilégiée.

Dans un contexte de crise où les investissements dans les développements se font au plus juste, la phase de test qualité est souvent bâclée ou sacrifiée. La sécurité logicielle, quant à elle, est alors reléguée en dernière priorité. Car si un bogue dans une application se voit de manière évidente à l’usage, une faille de sécurité peut passer inaperçue tant qu’elle n’est pas sujette à une attaque.

Des enjeux économiques et juridiques

Face à cette menace, la politique de l’autruche ou le principe du « ça n’arrive qu’aux autres » est de mise. « La veille d’un incident, le retour sur investissement d’un système de sécurité est nul. Le lendemain, il est infini », déclare Dennis Hoffman, de RSA.

Suite à une attaque résultant d’une négligence, une entreprise peut se faire voler des données confidentielles, voir sa base de données endommagée et être contraint d’arrêter son exploitation. Outre le déficit d’image que la publicité d’une telle défaillance peut occasionner, l’aspect légal n’est pas à négliger. Une entreprise est tenue d’assurer vis-à-vis de la Cnil la disponibilité, l’intégrité et la confidentialité de ses données. En cas de défaillance, le dirigeant de l’entreprise est pénalement responsable et risque jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende.

Méthodologies, outils et prestataires au service de la sécurité logicielle

Comme c’est le cas pour la qualité, plus la prise en compte de la sécurité intervient tard dans le cycle de vie et plus elle coûte cher. Si le coût de correction d’une faille de sécurité est de 1 en phase de conception, il sera de 8 en développement, 16 en test et 60 en production, selon IBM Systems Sciences Institue Statistics !

Une approche à la fois pragmatique et mature consiste à intégrer la sécurité le plus tôt possible dans le cycle de vie de l’application, ainsi qu’à toutes les étapes de ce cycle. On retrouve cette démarche dans les méthodologies dédiées à la sécurité logicielle (SDL, Clasp, BSIMM...). Les outils de sécurité dédiés aux développeurs sont là et permettent d’analyser le code source à la recherche des failles de sécurité ou de tester le comportement de l’application face à une intrusion.

La sécurité reste cependant une discipline complexe réservée à des spécialistes. La première étape d’une telle démarche consiste à sensibiliser les équipes de développement et assurer les formations adéquates. Durant le cycle de développement, l’intervention d’un prestataire pour assurer des audits de code ou des tests d’intrusion avant la mise en production peut se révéler nécessaire.

Limiter les risques

Il est édifiant de voir de nos jours des applications comportant encore des failles de sécurité énormes telles que le Cross Site Scripting ou l’Injection SQL, pourtant largement documentées. Une démarche de sécurité dès la conception permettra d’éradiquer la vulnérabilité de vos applications. A la manière de la médecine chinoise, plutôt préventive que curative, pratiquez désormais la « security by design ».

Vous pourrez retrouver l’intégralité de cet article sur la sécurisation des applications dans le numéro 2014 du magazine 01 Informatique paru hier en version papier ou dans son édition numérique.

Pierre Tran | 01net. | le 06/11/2009 à 16h56

(Source :01netPro.)