4 questions pour réduire le cyber-risque lié à vos applications web et assets publics.

Posez-vous les quatre questions suivantes pour aider à réduire le cyber-risque que présentent vos applications web et vos assets publics.

Les cyber-attaques visant continuellement vos applications web et vos assets publics ne vont pas s'arrêter de sitôt : selon le rapport d'enquête 2020 sur les compromissions de données (DBIR) de Verizon, 43 % des violations de données impliquaient des attaques visant les applications web. Entre les nouveaux outils d'attaque automatisés et les pirates informatiques aux méthodes sophistiquées et particulièrement bien financés ciblant des failles de sécurité spécifiques, il est désormais très facile pour les attaquants de tester vos défenses. 

La sécurisation de vos applications web dépend de vous et de votre habilité à comprendre les faiblesses qu'un attaquant pourrait détecter et exploiter dans votre réseau. Une fois cette compréhension acquise, vous pourrez appliquer de manière proactive les correctifs appropriés, les corrections de code et/ou les contrôles compensatoires pour limiter les menaces.

Chacune des questions suivantes ouvre des perspectives qui vous conféreront une meilleure visibilité sur le risque de sécurité lié à vos applications web et assets publics.

1. Quels risques les assets publics font-ils courir à mon entreprise ?

Pour commencer, comment évalueriez-vous le risque lié à un asset public ? Dans une situation idéale, vous souhaiteriez exposer le moins d'assets possible au monde extérieur. Vous pouvez tirer parti d'une évaluation du risque public via des scans pour vous assurer que vous réduisez au maximum votre visibilité publique. Les scans présentent un autre avantage : ils testent les contrôles compensatoires sur votre réseau pour vérifier qu'ils sont bien opérationnels.

Malheureusement, même les informations les plus simples exposées au monde extérieur, comme la version de votre serveur de protocole de transfert de fichiers (FTP), peuvent être exploitées par des techniques de « Google hacking ». Il est important d'utiliser un programme de gestion des vulnérabilités pour mettre en place des scans réguliers des assets publics et ainsi minimiser les risques. Les résultats de l'évaluation du risque via des scans sont les plus efficaces pour configurer votre réseau et les contrôles compensatoires basés sur l'hôte afin d'éviter d'exposer des informations indésirables.

2. Quelles vulnérabilités présente l'infrastructure back-end de mon réseau ?

Pour comprendre les faiblesses d'un réseau, nous vous recommandons des scans locaux via un scanner de vulnérabilité hébergé dans votre environnement ou un agent installé sur l'hôte. Un scanner local dans votre environnement utilisant des scans authentifiés peut fournir les résultats les plus complets. Pour obtenir ce niveau de détail, vous devrez fournir des informations d'authentification pour l'évaluation de la cible. Si cela s'avère trop complexe, vous pouvez avoir recours à des agents ne nécessitant pas d'informations d'authentification car ils s'exécutent déjà sur l'hôte.

Une fois les scans authentifiés, vous obtiendrez une liste complète des vulnérabilités auxquelles l'asset est sensible. L'étape suivante consiste à appréhender le contexte de la menace pesant sur chacune de ces vulnérabilités. Comprendre les informations actuelles liées aux risques réels pour chaque vulnérabilité peut vous aider à mieux prioriser vos efforts de remédiation, en fonction de la probabilité qu'une vulnérabilité soit exploitée. Vous pouvez ainsi profiter d'une utilisation optimisée de vos ressources de sécurité limitées.

Il est tout aussi important d'avoir conscience des problèmes de configuration et de conformité. Il vous faut une solution de gestion des vulnérabilités qui inclut la possibilité d'auditer la configuration d'une cible par rapport à un certain nombre de normes de conformité et de modèles de bonnes pratiques. Cela inclut ceux du Center for Internet Security (CIS), les guides d'implémentation technique de sécurité de la Defense Information Systems Agency (DISA/STIG) et les normes de l'industrie des cartes de paiement (PCI), ainsi que les normes internes de votre entreprise.

3. Comment savoir si mes applications web sont protégées contre une attaque ?

L'un des moyens les plus rapides et les plus efficaces de protéger vos applications web contre une attaque consiste à déployer un programme automatisé de scans des applications web. Les tests dynamiques de la sécurité des applications (DAST), par exemple, sont des tests d'intrusion automatisés qui interagissent avec l'application web de manière sécurisée et évaluent la réponse pour déceler d'éventuelles faiblesses dans le codage de l'application web. 

Pour évaluer dynamiquement une application web, un outil DAST peut aller plus loin qu'un simple système d'exploitation (OS) ou qu'un audit des configurations et des vulnérabilités au niveau de l'application. Il permet en effet de garantir que l'application n'est pas vulnérable à une action imprévue ou à des failles logiques. Il aide aussi à valider l'environnement en cours d'exécution, comme l'injection SQL (Structured Query Language), pour identifier les erreurs de codage et les mauvaises configurations. Il est également important de souligner que certains scanners d'applications web traditionnels ne suffisent pas pour les applications modernes. Un DAST moderne est capable non seulement de scanner des applications web en HTML traditionnel, mais peut aussi traiter des applications web dynamiques développées via des frameworks HTML5, JavaScript et AJAX, y compris les applications monopage.

La pratique du « Shift Left » est une meilleure pratique qui intègre la sécurité des applications web dans le cycle de développement logiciel. Il est crucial de tester entièrement vos applications web dans un environnement de pré-production et d'automatiser les scans de sécurité chaque fois que le code est modifié, et ce afin d'augmenter la posture de sécurité de votre entreprise. Cela permet de déceler les vulnérabilités assez tôt, de réduire les coûts de remédiation et de limiter les dommages potentiels dus à une compromission. 

4. Comment contrôler la conformité PCI via des scans ?

La norme de sécurité des données PCI (DSS) comprend une exigence (11.2.2) pour les scans externes trimestriels et une attestation fournie par un fournisseur ASV. Vous devez combiner le résultat de l'évaluation du risque public via des scans à une solution de scan des applications web issue d'un fournisseur ASV pour produire une attestation relative aux applications web et assets publics. Avec ces résultats de scan, vous pouvez valider le processus d'obtention d'une certification de conformité selon l'exigence 11.2.2, à partager ensuite avec toutes les parties intéressées. L'utilisation de modèles PCI préconfigurés et de processus de contestation définis peut aider à simplifier cette démarche.

Résumé

Comme vous pouvez le constater, il n'existe pas de solution miracle pour l'évaluation de vos applications web et assets publics en vue de déterminer le risque de cyber-criminalité. Cela dit, il existe des meilleures pratiques pour vous aider à appréhender et minimiser votre risque. Pour en savoir plus, veuillez consulter l'eBook « Sécurité des applications web : les 5 meilleures pratiques pour booster votre avantage concurrentiel ».

Pour en savoir plus

• Lisez l'article de blog : Web Application Security : 3 enseignements tirés de la Formule 1™
• Participez au webinaire : 3 manières d'améliorer la sécurité des applications web