Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

4 questions pour réduire le cyber-risque lié à vos applications web et assets publics.

Posez-vous les quatre questions suivantes pour aider à réduire le cyber-risque que présentent vos applications web et vos assets publics.

Les cyber-attaques visant continuellement vos applications web et vos assets publics ne vont pas s'arrêter de sitôt : selon le rapport d'enquête 2020 sur les compromissions de données (DBIR) de Verizon, 43 % des violations de données impliquaient des attaques visant les applications web. Entre les nouveaux outils d'attaque automatisés et les pirates informatiques aux méthodes sophistiquées et particulièrement bien financés ciblant des failles de sécurité spécifiques, il est désormais très facile pour les attaquants de tester vos défenses. 

La sécurisation de vos applications web dépend de vous et de votre habilité à comprendre les faiblesses qu'un attaquant pourrait détecter et exploiter dans votre réseau. Une fois cette compréhension acquise, vous pourrez appliquer de manière proactive les correctifs appropriés, les corrections de code et/ou les contrôles compensatoires pour limiter les menaces.

Chacune des questions suivantes ouvre des perspectives qui vous conféreront une meilleure visibilité sur le risque de sécurité lié à vos applications web et assets publics.

1. Quels risques les assets publics font-ils courir à mon entreprise ?

Pour commencer, comment évalueriez-vous le risque lié à un asset public ? Dans une situation idéale, vous souhaiteriez exposer le moins d'assets possible au monde extérieur. Vous pouvez tirer parti d'une évaluation du risque public via des scans pour vous assurer que vous réduisez au maximum votre visibilité publique. Les scans présentent un autre avantage : ils testent les contrôles compensatoires sur votre réseau pour vérifier qu'ils sont bien opérationnels.

Malheureusement, même les informations les plus simples exposées au monde extérieur, comme la version de votre serveur de protocole de transfert de fichiers (FTP), peuvent être exploitées par des techniques de « Google hacking ». Il est important d'utiliser un programme de gestion des vulnérabilités pour mettre en place des scans réguliers des assets publics et ainsi minimiser les risques. Les résultats de l'évaluation du risque via des scans sont les plus efficaces pour configurer votre réseau et les contrôles compensatoires basés sur l'hôte afin d'éviter d'exposer des informations indésirables.

2. Quelles vulnérabilités présente l'infrastructure back-end de mon réseau ?

Pour comprendre les faiblesses d'un réseau, nous vous recommandons des scans locaux via un scanner de vulnérabilité hébergé dans votre environnement ou un agent installé sur l'hôte. Un scanner local dans votre environnement utilisant des scans authentifiés peut fournir les résultats les plus complets. Pour obtenir ce niveau de détail, vous devrez fournir des informations d'authentification pour l'évaluation de la cible. Si cela s'avère trop complexe, vous pouvez avoir recours à des agents ne nécessitant pas d'informations d'authentification car ils s'exécutent déjà sur l'hôte.

Une fois les scans authentifiés, vous obtiendrez une liste complète des vulnérabilités auxquelles l'asset est sensible. L'étape suivante consiste à appréhender le contexte de la menace pesant sur chacune de ces vulnérabilités. Comprendre les informations actuelles liées aux risques réels pour chaque vulnérabilité peut vous aider à mieux prioriser vos efforts de remédiation, en fonction de la probabilité qu'une vulnérabilité soit exploitée. Vous pouvez ainsi profiter d'une utilisation optimisée de vos ressources de sécurité limitées.

Il est tout aussi important d'avoir conscience des problèmes de configuration et de conformité. Il vous faut une solution de gestion des vulnérabilités qui inclut la possibilité d'auditer la configuration d'une cible par rapport à un certain nombre de normes de conformité et de modèles de bonnes pratiques. Cela inclut ceux du Center for Internet Security (CIS), les guides d'implémentation technique de sécurité de la Defense Information Systems Agency (DISA/STIG) et les normes de l'industrie des cartes de paiement (PCI), ainsi que les normes internes de votre entreprise.

3. Comment savoir si mes applications web sont protégées contre une attaque ?

L'un des moyens les plus rapides et les plus efficaces de protéger vos applications web contre une attaque consiste à déployer un programme automatisé de scans des applications web. Les tests dynamiques de la sécurité des applications (DAST), par exemple, sont des tests d'intrusion automatisés qui interagissent avec l'application web de manière sécurisée et évaluent la réponse pour déceler d'éventuelles faiblesses dans le codage de l'application web. 

Pour évaluer dynamiquement une application web, un outil DAST peut aller plus loin qu'un simple système d'exploitation (OS) ou qu'un audit des configurations et des vulnérabilités au niveau de l'application. Il permet en effet de garantir que l'application n'est pas vulnérable à une action imprévue ou à des failles logiques. Il aide aussi à valider l'environnement en cours d'exécution, comme l'injection SQL (Structured Query Language), pour identifier les erreurs de codage et les mauvaises configurations. Il est également important de souligner que certains scanners d'applications web traditionnels ne suffisent pas pour les applications modernes. Un DAST moderne est capable non seulement de scanner des applications web en HTML traditionnel, mais peut aussi traiter des applications web dynamiques développées via des frameworks HTML5, JavaScript et AJAX, y compris les applications monopage.

La pratique du « Shift Left » est une meilleure pratique qui intègre la sécurité des applications web dans le cycle de développement logiciel. Il est crucial de tester entièrement vos applications web dans un environnement de pré-production et d'automatiser les scans de sécurité chaque fois que le code est modifié, et ce afin d'augmenter la posture de sécurité de votre entreprise. Cela permet de déceler les vulnérabilités assez tôt, de réduire les coûts de remédiation et de limiter les dommages potentiels dus à une compromission. 

4. Comment contrôler la conformité PCI via des scans ?

La norme de sécurité des données PCI (DSS) comprend une exigence (11.2.2) pour les scans externes trimestriels et une attestation fournie par un fournisseur ASV. Vous devez combiner le résultat de l'évaluation du risque public via des scans à une solution de scan des applications web issue d'un fournisseur ASV pour produire une attestation relative aux applications web et assets publics. Avec ces résultats de scan, vous pouvez valider le processus d'obtention d'une certification de conformité selon l'exigence 11.2.2, à partager ensuite avec toutes les parties intéressées. L'utilisation de modèles PCI préconfigurés et de processus de contestation définis peut aider à simplifier cette démarche.

Résumé

Comme vous pouvez le constater, il n'existe pas de solution miracle pour l'évaluation de vos applications web et assets publics en vue de déterminer le risque de cyber-criminalité. Cela dit, il existe des meilleures pratiques pour vous aider à appréhender et minimiser votre risque. Pour en savoir plus, veuillez consulter l'eBook « Sécurité des applications web : les 5 meilleures pratiques pour booster votre avantage concurrentiel ».

Pour en savoir plus

Articles connexes

Êtes-vous à la merci des derniers exploits ?

Indiquez votre adresse e-mail pour recevoir les dernières alertes de Cyber Exposure.

Essayer Tenable.io

GRATUIT PENDANT 30 JOURS

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Abonnez-vous dès maintenant.

Acheter Tenable.io

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

65 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayer Nessus Professional gratuitement

GRATUIT PENDANT 7 JOURS

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Acheter Nessus Professional

Nessus® est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Nessus Professional vous donne les moyens d'automatiser le processus de scan des vulnérabilités, d'écourter vos cycles de mise en conformité et d'impliquer votre équipe IT.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24, 7 j/7 à une assistance par téléphone, via la communauté et via le chat. Cliquez ici pour plus d'informations.

Essayer Tenable.io Web Application Scanning

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à notre nouvelle offre Web Application Scanning conçue pour les applications modernes et s'intégrant à la plateforme Tenable.io. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Acheter Tenable.io Web Application Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5 FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable.io Container Security

GRATUIT PENDANT 30 JOURS

Profitez d'un accès complet à la seule offre de sécurité des conteneurs intégrée dans une plateforme de gestion des vulnérabilités. Surveillez les images de conteneur pour détecter d'éventuelles vulnérabilités, malwares ou violations des politiques. Intégrez la solution aux systèmes d'intégration et de déploiement continus (CI/CD) pour soutenir votre démarche DevOps, renforcer la sécurité et assurer la conformité aux politiques de l'entreprise.

Acheter Tenable.io Container Security

Tenable.io Container Security permet la mise en œuvre sécurisée et fluide de processus DevOps en fournissant une visibilité sur l'état de sécurité des images de conteneur, notamment en ce qui concerne les vulnérabilités, malwares et violations des politiques, par le biais d'une intégration au processus de compilation.

Obtenir une démo de Tenable.sc

Veuillez compléter le formulaire ci-contre. Un représentant vous contactera sous peu pour organiser une démo. Vous pouvez également inclure un bref commentaire (limité à 255 caractères). Notez que les champs marqués d'un astérisque (*) sont obligatoires.

Essayer Tenable Lumin

GRATUIT PENDANT 30 JOURS

Visualisez et explorez votre Cyber Exposure, suivez la réduction des risques au fil du temps et comparez-vous à vos pairs grâce à Tenable Lumin.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous aider à obtenir une visibilité sur l'ensemble de votre entreprise et à gérer votre cyber-risque.

Demander une démo de Tenable.ot

Bénéficiez de la sécurité OT dont vous avez besoin
et réduisez le risque.

Tenable.ad

Détectez et traitez en continu les attaques Active Directory. Pas d'agents. Pas de privilèges. Sur site et dans le cloud.