in Avis d'experts

Développement d’applications sécurisées : pas de panacée universelle, mais besoin d’une stratégie d’entreprise efficace. Par Stéphane de Saint Albin, Directeur Commercial et Marketing DenyAll

Les stratégies visant à sécuriser applications et services web étaient au cœur des échanges avec de nombreux RSSI lors des dernières Assises de la Sécurité. Tous s’accordent pour dire que la protection des applications modernes est loin d’être une question triviale, d’une part, et qu’aucun outil ou processus ne saurait sécuriser les applications « une fois pour toute », d’autre part. Le débat ancestral sur la primauté de la formation des développeurs par rapport aux contrôles de sécurité n’est plus d’actualité. Par contre, toute stratégie d’entreprise doit partir d’une analyse des risques encourus et définir des priorités d’investissement, en fonction de leur efficacité prévisible à limiter l’impact des attaques.

Les défis à relever pour opérer le tournant de la sécurisation applicative

Une étude Forrester commissionnée par DenyAll en Mars 2013 a mis en avant les principaux défis auxquels les entreprises européennes font face pour développer et mettre en œuvre des applications sécurisées :

  • Le premier défi est le manque d’expertise en sécurité applicative, qui se traduit par une pression forte pour les équipes en charge de l’IT et de la sécurité, face à des métiers qui ne cessent de déployer des applications Web et mobiles, nouveaux vecteurs privilégiés des attaques ciblant le système d’information ;
  • Le deuxième défi est celui de la scalabilité : l’expertise en sécurité applicative étant rare, les entreprises peinent à déployer les compétences qu’elles possèdent sur l’ensemble de leurs projets applicatifs ;
  • Le troisième défi concerne la sécurisation des applications métiers anciennes : mobiliser les ressources nécessaires pour modifier le code d’une application sur laquelle une vulnérabilité a été découverte peut prendre des mois, voire même s’avérer impossible, pour peu que l’entreprise n’ait pas accès au code source. Pendant ce temps, comment éviter que ces vulnérabilités ne soit exploitées ?

Même en disposant de toute la compétence requise et en faisant abstraction de la pression du business, il n’y a pas d’absolu en matière de sécurité applicative, comme en sécurité en général. Quand bien même le code des applications serait exempt de toute faille à un instant donné, cet état ne saurait qu’être temporaire. En effet, les applications et services web évoluent très vite, au rythme des besoins des métiers. Et la complexité des infrastructures applicatives est telle que de nouvelles vulnérabilités ne tarderont pas à être identifiées, quelque part dans la pile.

Les solutions stratégiques pour garantir une sécurisation optimale

Si le risque zéro n’existe pas, une stratégie efficace peut cependant être mise en place, qui s’appuie sur la formation des équipes de développement, et l’intégration dans le cycle de développement logiciel des technologies visant à identifier les vulnérabilités et à rendre leur exploitation plus difficile :

  • Les outils de détection statique des vulnérabilités (SAST), permettent aux développeurs d’identifier dans leur code les failles de sécurité qui seront potentiellement exploitables par des hackers, une fois l’application mise en production ;
  • Les outils de détection dynamique des vulnérabilités (DAST), permettent d’automatiser l’identification des vulnérabilités identifiables dans l’application tout au long du cycle, du développement à la mise en production ;
  • Les parefeux applicatifs Web (WAF), fournissent une protection efficace, extensible facilement à l’ensemble du parc pour les logiciels standards du marché, les progiciels et applications d’entreprise développées en interne comme par des tiers ;
  • Le patching virtuel, résultat de l’intégration des deux technologies précédentes (DAST et WAF), permet de réduire la période de temps pendant laquelle les données sensibles sont exposées aux attaques, et d’ajuster la politique de sécurité applicative à l’évolution des menaces.

Comme le souligne le rapport de Forrester, la formation continue des équipes de développement demeure un composant essentiel de toute stratégie de sécurité applicative. Il est important que les développeurs acquièrent une bonne culture des vulnérabilités, des attaques qui les exploitent et des bonnes pratiques de codage. Une majorité des professionnels de la sécurité applicative qui ont participé à cette étude (60%), pensent cependant que la formation des développeurs a un impact limité, ou que cet investissement n’est pas suffisant en lui-même.

sdesaintalbin-150 Stéphane de Saint Albin est Directeur Commercial et Marketing de DenyAll, éditeur français de logiciel spécialisé en sécurité applicative.

 

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.