Ces six mythes mettent en danger la sécurité des applications
Rien n'est plus important que la sécurité des applications critiques pour l'entreprise. En cas de dommage, les données tombent entre des mains non autorisées, la réputation en pâtit et les clients déçus se tournent vers la concurrence. Pourtant, les managers et les responsables informatiques ne prennent pas les mesures de sécurité nécessaires.
Les menaces informatiques sont de plus en plus nombreuses et complexes. En cas d'attaque, les entreprises évitent généralement des dommages plus importants grâce aux mesures de protection existantes. Les six mythes suivants expliquent toutefois comment elles peuvent encore améliorer la sécurité de leurs applications de manière significative.
Mythe 1 : Les cybercriminels s'attaquent à l'infrastructure, les applications ne sont guère ciblées
Ce mythe est malheureusement une croyance erronée très répandue. Enquêtes ont montré que plus de la moitié de toutes les attaques se produisent via la couche d'application. Or, la septième couche OSI, la couche d'application, n'est pas du tout protégée par les pare-feu classiques. Il est recommandé de protéger les applications commerciales critiques par un pare-feu applicatif qui contrôle l'entrée, la sortie et l'accès aux services externes et les bloque le cas échéant s'ils ne correspondent pas à la politique configurée dans le pare-feu applicatif.
La sécurité des applications commence toutefois dès le développement du logiciel. Les programmeurs d'applications devraient suivre les meilleures pratiques et ne plus utiliser de code peu sûr et de constructions de programmation vulnérables, afin d'éviter l'apparition de failles. Dans l'ensemble du cycle de vie de l'application, une gestion des correctifs effectuée en temps utile joue en outre un rôle très important (voir mythe 5).
Mythe 2 : Les tests d'intrusion suffisent, l'application est sécurisée
La plupart des informaticiens pensent qu'un test d'intrusion réussi garantit presque la sécurité d'une application. C'est vrai pour les applications simples, mais pas pour les applications complexes qui contiennent beaucoup de logique commerciale et de processus. Les applications complexes avec de nombreuses parties prenantes ne peuvent pas être entièrement testées par des tests d'intrusion. Les processus de développement, d'acquisition ou de validation auxquels participent plusieurs unités commerciales devraient donc absolument faire l'objet de mesures de sécurité supplémentaires. NTT Security recommande de s'orienter vers des modèles de maturité logicielle comme OpenSAMM, qui aident les entreprises à mettre en place une stratégie de sécurité adaptée à leur modèle commercial pour les applications critiques.
Les applications développées en interne requièrent une attention particulière. En voici un exemple : Plus de 70 % des fonctionnalités SAP sont programmées par les clients eux-mêmes. Le fabricant n'offre toutefois aucune garantie de sécurité pour les développements internes. Les mesures de sécurité établies à l'aide de modèles de maturité comme OpenSAMM sont donc particulièrement importantes pour les logiciels propres dont le client assume lui-même la responsabilité.
Mythe 3 : Les outils de sécurité font le travail, les cyber-attaquants n'ont alors aucune chance
De nombreuses entreprises s'appuient trop sur leurs outils de sécurité, par exemple sur le patching ou la gestion de la configuration. Les outils sont importants, mais ce n'est que la moitié de la bataille. Dans l'informatique, tout est aujourd'hui connecté à tout. Mais les différentes unités commerciales ne se parlent pas assez. Les experts en sécurité, qui veillent à une stratégie de sécurité globale, devraient être présents à la table lors de chaque nouvelle introduction et de chaque décision importante. Sinon, chaque département utilise ses propres outils sans coordination et, au final, il y a beaucoup de visages déçus en cas d'incident de sécurité.
Mythe 4 : Chaque employé est responsable de sa propre sécurité
Les points faibles les plus dangereux dans les entreprises sont les propres collaborateurs, soulignent les experts en sécurité. Il est donc important de sensibiliser les collaborateurs aux risques par des formations régulières et de les informer sur les vecteurs d'attaque actuels. Les formations n'excluent pas que les cybercriminels puissent accéder à des données sensibles grâce à des techniques d'ingénierie sociale comme les e-mails d'hameçonnage personnalisés, mais elles permettent d'accroître la sensibilisation et de réduire les risques. Il faut réfléchir à deux fois avant de cliquer sur une application de messagerie et faire preuve de bon sens.
Mythe 5 : L'application des correctifs de sécurité prend des heures et les systèmes sont inutilisables
En moyenne, les applications vulnérables et non corrigées restent en ligne pendant plusieurs centaines de jours, bien que les failles soient connues et que les cybercriminels puissent lancer une attaque à tout moment. La plus grande faille de sécurité pour les applications sont les bibliothèques non patchées, selon le Rapport statistique sur la sécurité des applications 2018 (Vol. 13) de WhiteHat, une filiale de NTT Security. La raison de ce comportement négligent est la croyance erronée répandue dans de nombreuses entreprises que les systèmes informatiques tombent en panne et ne sont pas utilisables lors de l'application de correctifs de sécurité : Les clients peuvent ne pas pouvoir accéder aux systèmes de commande, les collaborateurs se tournent les pouces et l'entreprise perd ainsi des revenus.
Cette hypothèse est fausse. Aujourd'hui, les correctifs de sécurité peuvent soit être appliqués en cours de fonctionnement, soit ne nécessiter qu'une brève mise hors service de certains composants. Une autre alternative consiste à utiliser la fenêtre de maintenance nocturne pour appliquer les correctifs.
Mythe 6 : Quand on est piraté, on ne peut plus rien faire
Plus facile à dire qu'à faire : en cas d'attaque, les entreprises devraient en tout cas garder leur calme et ne pas causer davantage de dégâts par des réactions à chaud irréfléchies. Il y a des entreprises qui, après une attaque, ont débranché le câble d'alimentation et détruit ainsi les contrôleurs de disque dur. Pour les experts en médecine légale, il n'était plus possible de reconstituer l'attaque et d'identifier a posteriori les vecteurs d'attaque. L'objectif devrait être de rassembler autant de preuves et de données que possible et de demander au plus vite l'aide d'experts professionnels en sécurité.
Conclusion : la sécurité dépend de nombreux facteurs
Un seul test d'intrusion réussi ne suffit pas à garantir la sécurité des applications. C'est une croyance erronée et négligente. A ma connaissance, il n'existe pas de test d'intrusion qui ne présente pas un ou deux points faibles critiques. Il est donc recommandé de s'orienter vers des modèles de maturité sur le thème de la sécurité des applications comme OpenSAMM. Souvent, les correctifs de sécurité ne sont pas appliqués parce que des systèmes soi-disant critiques pour l'entreprise, comme la production ou la distribution, sont alors hors service pendant un certain temps. Les entreprises prennent ainsi un risque incalculable. Mais les correctifs peuvent aussi être appliqués pendant le fonctionnement. Beaucoup de nos clients le font, évitent les temps d'arrêt et cela fonctionne très bien.
Auteur :
René Bader est Lead Consultant Secure Business Applications EMEA chez NTT Sécurité.
