Thèmes
Services
Accueil > 6 conseils pour plus ...
FR
FR DE IT EN

6 conseils pour améliorer la sécurité des applications web

Les applications web des entreprises sont souvent mal protégées contre les cybercriminels. Pourtant, les piratages de données sensibles ont des conséquences importantes. Six conseils pour aider les entreprises à mieux sécuriser leurs applications web contre les intrusions.

Rédaction - 22 novembre 2019
Les entreprises devraient régulièrement contrôler les points faibles de l'informatique d'entreprise. (Source : NTT Ltd.)

Lorsqu'il s'agit de s'emparer de précieuses données clients d'une entreprise et de pénétrer dans les systèmes back-end, les applications web restent la porte d'entrée préférée. Les pirates exploitent les failles de l'application elle-même ou de la plateforme sur laquelle elle fonctionne pour accéder aux données. L'année dernière, les attaques contre les applications web ont représenté 32 % de toutes les activités hostiles dans le monde, comme le montre le Global Threat Intelligence Report 2019. Cinq secteurs industriels sont particulièrement touchés : Finance, "Business and Professional Services", Santé, Retail ainsi que Fabrication. Avec 85 %, le secteur de la vente au détail occupe une place de choix dans la région EMEA. Une présence accrue sur Internet via des boutiques en ligne ou des portails clients, combinée à des données clients sensibles, signifie dans ce cas une plus grande surface d'attaque et beaucoup de "nourriture" pour les cybercriminels.

Dans la plupart des cas, les applications web sont piratées par l'introduction de commandes SQL. En outre, le cryptage incorrect ou erroné, l'absence de procédures d'authentification et le cross-site scripting (XSS) posent problème : dans le cas du XSS, les pirates exploitent des vulnérabilités pour introduire un script qui s'exécute ensuite dans le navigateur de l'utilisateur. Comme les pirates suivent la voie de la moindre résistance, ils recherchent des vulnérabilités non corrigées ou des systèmes mal configurés. Souvent, ce ne sont pas les nouveaux exploits "zero-day" qui sont fatals aux entreprises, mais des failles pour lesquelles il existe depuis longtemps un patch. La tendance aux microservices, souvent créés en Node.js et Spring Boot, aggrave également le problème.

Les recommandations suivantes de la division sécurité de NTT permettent aux entreprises de défendre leurs applications web et leur réseau contre les agresseurs potentiels :

  • Patcher, patcher, patcher : Une bonne gestion des correctifs pour les systèmes d'exploitation et les applications est une priorité absolue. Il ne faut en aucun cas oublier les systèmes moins critiques dans le réseau, ils peuvent devenir une porte d'entrée pour les pirates en cas d'absence de correctifs.
  • Gestion stricte des accès : Les droits d'accès devraient être examinés de près et limités dans la mesure du possible. Dans la mesure du possible, les mots de passe devraient être remplacés par une authentification forte.
  • Segmentation de l'environnement réseau : Les entreprises devraient segmenter les applications et l'infrastructure de manière à pouvoir contenir les menaces et empêcher leur propagation à d'autres domaines.
  • La sécurité dès la conception : Le thème de la sécurité devrait être pris en compte dès le départ lors du développement interne de logiciels et de la configuration du système et du réseau. En outre, il ne faut utiliser que des applications et des outils de fournisseurs tiers dont l'efficacité est prouvée.
  • Mise en œuvre d'un pare-feu d'application web (WAF) : Un WAF protège les applications web en contrôlant le trafic de données entre les serveurs web et les clients au niveau de l'application. Il filtre, analyse et surveille le trafic HTTP.
  • Contrôle régulier des points faibles : Les entreprises devraient analyser à intervalles réguliers leur informatique d'entreprise pour y déceler les points faibles, hiérarchiser les résultats de l'analyse en conséquence et, le cas échéant, procéder à une adaptation des processus et contrôles internes.

"Le thème de la sécurité des applications web est encore traité de manière très négligée dans de nombreuses entreprises. La plupart d'entre elles font un test d'intrusion lorsque le site web est en ligne, et ensuite il ne se passe plus rien. Whitehead Security, une filiale de NTT, publie un rapport annuel sur le nombre de vulnérabilités ouvertes et non corrigées dans les applications web qu'ils trouvent via leurs tests d'intrusion. Le résultat est effrayant : la valeur moyenne au cours des dernières années a toujours été d'environ 380 à 390 jours de vulnérabilités ouvertes et non corrigées dans les applications web. Cela varie quelque peu d'un secteur à l'autre", explique René Bader, de la division Sécurité de NTT Ltd. "Les entreprises ne peuvent pas fermer les yeux sur ce sujet. Compte tenu également du fait que de plus en plus d'organisations et de développeurs adoptent une approche DevOps, ce qui promet certes un développement et un déploiement plus rapides des applications, mais augmente en même temps le besoin de sécurité, par exemple en raison d'un manque d'automatisation des tests".

Communiqué de presse NTT, Division de la sécurité

 

(Visité 70 fois, 1 visites aujourd'hui)

Plus d'articles sur le sujet

Cyberattaques contre des infrastructures critiques - Les sanctions entrent en vigueur

Mois de la cybersécurité 2025 : Ensemble contre le hameçonnage - comment protéger vos données

Sécurité de l'information au sein de la Confédération : pas d'incidents graves en 2024

ACTUALITÉS SUR LA SÉCURITÉ

Restez informé sur les thèmes actuels de la sécurité - de manière pratique et fiable. Recevez des contenus exclusifs directement dans votre boîte de réception. Ne manquez aucune mise à jour.

Inscrivez-vous maintenant !
s'inscrire
Vous pouvez vous désinscrire à tout moment !
close-link