Six mythes compromettent la sécurité des applications

Les menaces informatiques sont de plus en plus nombreuses et complexes. En cas d'attaque, les entreprises évitent généralement des dommages plus importants grâce aux mesures de protection existantes. René Bader, expert en sécurité de NTT Security, explique dans les six mythes suivants comment elles peuvent encore améliorer la sécurité de leurs applications de manière significative.

Mythe 1 : Les cybercriminels s'attaquent à l'infrastructure, les applications ne sont guère ciblées

Ce mythe est malheureusement une croyance erronée très répandue. Enquêtes ont montré que plus de la moitié des attaques se font par la couche application. Or, la septième couche OSI, la couche d'application, n'est pas du tout protégée par les pare-feu classiques. Il est recommandé de protéger les applications commerciales critiques par un pare-feu applicatif qui contrôle l'entrée, la sortie et l'accès aux services externes et les bloque le cas échéant s'ils ne correspondent pas à la politique configurée dans le pare-feu applicatif.

La sécurité des applications commence toutefois dès le développement du logiciel. Les programmeurs d'applications devraient suivre les meilleures pratiques et ne plus utiliser de code peu sûr et de constructions de programmation vulnérables, afin d'éviter l'apparition de failles. Dans l'ensemble du cycle de vie de l'application, une gestion des correctifs effectuée en temps utile joue en outre un rôle très important (voir mythe 5).

Mythe 2 : Les tests d'intrusion suffisent, l'application est sûre

La plupart des informaticiens pensent qu'un test d'intrusion réussi garantit presque la sécurité d'une application. C'est vrai pour les applications simples, mais pas pour les applications complexes qui contiennent beaucoup de logique commerciale et de processus. Les applications complexes avec de nombreuses parties prenantes ne peuvent pas être entièrement testées par des tests d'intrusion. Les processus de développement, d'acquisition ou de validation auxquels participent plusieurs unités commerciales devraient donc absolument faire l'objet de mesures de sécurité supplémentaires. NTT Security recommande de s'orienter vers des modèles de maturité logicielle comme OpenSAMM, qui aident les entreprises à mettre en place une stratégie de sécurité adaptée à leur modèle d'entreprise pour les applications critiques.

Les applications développées en interne requièrent une attention particulière. En voici un exemple : Plus de 70 % des fonctionnalités SAP sont programmées par les clients eux-mêmes. Le fabricant n'offre toutefois aucune garantie de sécurité pour les développements internes. Les mesures de sécurité établies à l'aide de modèles de maturité comme OpenSAMM sont donc particulièrement importantes pour les logiciels propres dont le client assume lui-même la responsabilité.

Mythe 3 : Les outils de sécurité font le travail, les cyber-attaquants n'ont alors aucune chance

De nombreuses entreprises s'appuient trop sur leurs outils de sécurité, par exemple sur le patching ou la gestion de la configuration. Les outils sont importants, mais ce n'est que la moitié de la bataille. Dans l'informatique, tout est aujourd'hui connecté à tout. Mais les différentes unités commerciales ne se parlent pas assez. Les experts en sécurité, qui veillent à une stratégie de sécurité globale, devraient être présents à la table lors de chaque nouvelle introduction et de chaque décision importante. Sinon, chaque département utilise ses propres outils sans coordination et, au final, il y a beaucoup de visages déçus en cas d'incident de sécurité.

Mythe 4 : Chaque employé est responsable de sa propre sécurité

Les points faibles les plus dangereux dans les entreprises sont les propres collaborateurs, soulignent les experts en sécurité. Il est donc important de sensibiliser les collaborateurs aux risques par des formations régulières et de les informer sur les vecteurs d'attaque actuels. Les formations n'excluent pas que les cybercriminels puissent accéder à des données sensibles grâce à des techniques d'ingénierie sociale comme les e-mails d'hameçonnage personnalisés, mais elles permettent d'accroître la sensibilisation et de réduire les risques. Il faut réfléchir à deux fois avant de cliquer sur une application de messagerie et faire preuve de bon sens.

Mythe 5 : L'application des correctifs de sécurité prend des heures et les systèmes sont inutilisables

En moyenne, les applications vulnérables et non corrigées restent en ligne pendant plusieurs centaines de jours, bien que les vulnérabilités soient connues et que les cybercriminels puissent lancer une attaque à tout moment. La plus grande faille de sécurité pour les applications sont les bibliothèques non patchées ; voir sous Rapport statistique sur la sécurité des applications 2018 (Vol. 13). La raison de ce comportement négligent est la croyance erronée, répandue dans de nombreuses entreprises, que les systèmes informatiques tombent en panne et ne sont pas utilisables lors de l'application de correctifs de sécurité : Les clients peuvent ne pas pouvoir accéder aux systèmes de commande, les collaborateurs se tournent les pouces et l'entreprise perd ainsi des recettes.

Cette hypothèse est fausse. Aujourd'hui, les correctifs de sécurité peuvent soit être appliqués en cours de fonctionnement, soit ne nécessiter qu'une brève mise hors service de certains composants. Une autre alternative consiste à utiliser la fenêtre de maintenance nocturne pour appliquer les correctifs.

Mythe 6 : Une fois que vous avez été piraté, il n'y a plus rien à faire

Plus facile à dire qu'à faire : en cas d'attaque, les entreprises devraient en tout cas garder leur calme et ne pas causer davantage de dégâts par des réactions impulsives. Il y a des entreprises qui, après une attaque, ont débranché le câble d'alimentation et détruit ainsi les contrôleurs de disque dur. Pour les experts en médecine légale, il n'était plus possible de reconstituer l'attaque et d'identifier a posteriori les vecteurs d'attaque. L'objectif devrait être de rassembler autant de preuves et de données que possible et de demander au plus vite l'aide d'experts professionnels en sécurité.

Source : NTT Security