80% des attaques informatiques s'appuient sur la couche applicative

 

Petit déjeuner FIC: 20 octobre 2015

 

 

« La sécurité des applications : le nouveau challenge »

 

  

TEST-SECU-APPLI

 

 

Le dernier petit déjeuner FIC du 20 octobre a mis en lumière un aspect rarement évoqué en cybersécurité : la sécurité des applications. Selon les trois intervenants - le RSSI de Générali et deux acteurs du marché Sogeti et HP- plus de 80% des attaques informatiques s'appuient sur la couche applicative. Paradoxe si l'on observe que bon nombre d’entreprises investissent en priorité pour leur cybersécurité dans la protection des infrastructures et des accès. Le sociologue Edgar Morin explique dans son dernier livre: « Plus l’homme est puissant par la technique, plus il est fragile devant le malheur ». En cybersécurité, les malheurs des RSSI proviennent de plus en plus des couches applicatives. Mais l'homme affirme maitriser la situation au moyen de solutions séduisantes. Explications. 

 

 « Notre métier, l'assurance nécessite la mise en œuvre de nombreux contrats par intermédiation donc beaucoup d'intermédiaires. Nos produits ont une durée de vie très longues 25 ans ce qui rend plus complexes les mises à jour de certaines applications notamment en sécurité. Il s'agit au total de 600 applications dont une centaine en Java, une soixantaine encore en Cobol. Bref prés de 50 millions de lignes de codes au total. » annonce Jean-Paul Joanany, RSSI de Générali.

Chez ce grand compte, la politique de sécurité propre aux applications passe par le respect de trois modules dédiés aux managers, développeurs et chefs de projets. Ces dernier directement en contact avec les directions Métiers sont particulièrement sensibilisés à l'analyse de risques pour lutter contre la fraude. Ils doivent s'inquiéter au delà des vulnérabilité de leurs environnement : d'où viennent les connexions ? Remote ou pas ? Comment ? Les chefs de projet vérifient également l'authenticité des composants logiciels utilisés mais parfois « développés » à l’extérieur de Générali. Ces développement ont ils été effectués en s'assurant qu'il y avait bien « absence de vulnérabilités » ? Qui va suivre la vie de ces composants au sein des applications « maison » ? Désormais, la sécurité des applications doit s'inscrire dans un cycle complet. Celui-ci doit intégrer la détection de vulnérabilités également sur des frameworks de type outils de développement d'applicatifs WEB en tenant compte de la gestion des « patch » et des conséquences sur la sécurité des applications liées aux changements de versions des frameworks.

Le RSSI de Générali constate que « trop souvent on recherche des vulnérabilités dans les infrastructures et pas assez dans les applications » Afin de réduire les risques de vulnérabilités au niveau des applications, Jean-Paul Joanany demande à ses équipes de soumettre leurs développements à un audit de code effectué chaque soir par une équipe sécurité « dédiée ». « le choix d'une équipe dédiée apporte plus de discrétion sur les vulnérabilités internes comparé aux développeurs » souligne le décideur de chez Générali.

 

 

                                                                          Secure Software Development Life Cycle (sSDLC)

TEST-SDLC-SECURITE-APPLICATIONS-CYBERISQUES-2015

                                                               source: OWASP

 

 

L'approche du RSSI de Générali se trouve confortée par Yves Le Floch, Directeur du développement de la cybersécurité, Sogeti. Celui-ci tire les premiers enseignements du « World Quality Report » 2015-16 (cf Lire en section BONUS en fin d'article pour nos abonnés), une étude récente réalisée à la demande de Sogeti, HP et Capgemini sur les stratégies des entreprises pour l'essentiel européennes en matière de sécurité « applicative ».

En bref : la stratégie sécurité IT se montre prioritaire pour la majorité des entreprises interrogées mais seules 50% d'entre elles réalisent des tests sur la sécurité des applications. Lorsqu'ils sont réalisés, ces tests pour la moitié environ s'effectuent en interne. Pres de 17% des entreprises n'en font jamais. « Pourtant rappelle Yves Le Floch, 80% des brèches et des attaques sont réalisées au niveau applicatif et 60% des entreprises n'effectuent pas de tests lorsqu'elles sous traitent le développement des applications. En outre, beaucoup d'entreprises ignorent le nombre d'applications qu'elles hébergent ». Pour le Directeur du développement de la cybersécurité de Sogeti : « trop de tests sont effectués en fin de développement ce qui complique la tâche pour apporter des corrections. » Des corrections pas toujours évidentes a effectuer lorsqu'il s'agit de failles sur un module « open source » « perdu » dans les millions de lignes de codes. A t-on ce module en interne et où ? Les applications mobiles provoquent aussi de nouveaux enjeux en sécurité. Selon une étude de Ponemon en 2014, 77% des entreprises disent avoir du mal à sécuriser leurs applications mobiles. 

Pour améliorer la sécurité de l'ensemble des familles applicatives mobiles et WEB comprises, Yves Le Floch propose de s'appuyer sur une méthodologie de type : Process de développement sécurisés, tests de sécurité statiques (sur les codes sources), tests de sécurité dynamiques (sur l'application) puis tests finaux et audits. Indépendamment de la nature des applications, il faut un système de filtrage généralisé (Security gate) pour filtrer une dernière fois les applications testées avant la mise en exploitation.

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

Le livre de OWASP (Open Web Application Security Project)Testing guide est souvent cité comme une référence dans la sécurité des applications web.Découpé en plusieurs sections en fonction de l'évolution de la pénétration d'un cyber-attaquant via une application WEB, le guide démontre la construction logique qui s’opère lors d'une attaque. :

  • Prise d’information (Information gathering)

  • Gestion de la configuration et de l’installation (Configuration and deployment management testing)

  • Gestion des identités (Identity management testing)

  • Gestion de l’authentification (Authentication testing)

  • Gestion des autorisations (Authorization testing)

  • Gestion des sessions (Session management testing)

  • Gestion des entrées (Input validation testing)

  • Gestion des erreurs (Testing for error handling)

  • Attaque sur la cryptographie (Testing for weak cryptography)

  • Test de la logique business (Business logic testing)

  • Test du côté client (Client side testing)

 

 

Selon Claudio Merloni, Software Security Solutions Architect, HP Enterprise Security Products dernier intervenant de la matinée,  chaque entreprise possède ses propres spécificités. Chez HP, avec la gamme HP Fortify, la sécurité des applications suppose l'identification de phases spécifiques. La première implique la compréhension du problème et l'estimation de son ampleur : nombre d'applications a recenser par exemple. Ainsi, près de 20% des applications demeurent inconnues pour la plupart des entreprises notamment depuis l'émergence des familles applicatives Web et mobiles.

La deuxième phase identifie les applications critiques et leurs vulnérabilités également critiques. Une autre phase met en place la « security gate » déjà évoquée par Yves Le Floch afin de tester en fin de cycle la conformité des applications développées (y compris à l'extérieur de l entreprise) avec les règles de la politique de sécurité. Cette phase est déterminante pour accepter ou refuser une « livraison » d'un prestataire extérieur. La dernière séquence préconisée par HP précise les améliorations a apporter et les conditions de déploiement. Claudio Merloni insiste sur les notions de classifications des applications avec leurs niveau de criticité afin d'offrir aux responsables « métier » une plus grande visibilité sur l'évolution de leurs familles applicatives ;.

Comme l’expliquait récemment lors d'une conférence au CLUSIF un autre RSSI, Alexandre Fernandez Toro, RSSI Veolia Eau, auteur de l’ouvrage «Sécurité opérationnelle: conseils pratiques pour sécuriser le SI», tout projet d'entreprise, quel que soit le domaine d'activité, est de fait aujourd'hui un projet informatique. « Si l'entreprise se transforme et gagne, c'est grâce au système d'information et à la fluidité de l'informatique », rappelle-t-il. Une fluidité qui passe de plus en plus par la confiance dans les applications, victimes rappelons-le une fois encore dans 80% des cas des cyberattaquants.

Jean Philippe Bichard

 

 

 

 

BONUS :

OWASP (Open Web Application Security Project) :

https://www.owasp.org/images/5/52/OWASP_Testing_Guide_v4.pdf
https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents

 

FIC 2016 : http://www.observatoire-fic.com/le-fic-2016-aura-lieu-les-25-et-26-janvier-2016-sur-le-theme-de-la-securite-des-donnees/

HP: http://www8.hp.com/fr/fr/software-solutions/application-security/index.html

Sogeti : http://www.fr.sogeti.com/expertise/nos-offres/cybersecurite/

 

World Quality Report, 1 560 personnes venant de 32 pays ont été interrogées. Publié tous les ans depuis 2009, il s'agit du seul rapport mondial consacré à l’analyse de la qualité des applications. En 2015, pour la 7e édition, les données ont été recueillies à l'aide d'une méthodologie mixte associant entretiens téléphoniques et en ligne, assistés par ordinateur. Les répondants ont été classés en cinq groupes : DSI, VP Application, directeur informatique, responsable QA/Testing, directeur des données /directeur marketing. Ils ont participé partout dans le monde à des entretiens quantitatifs et qualitatifs suivis de discussions qualitatives plus approfondies, qui ont permis d'obtenir les réponses analysées dans le rapport.

Pour accéder au rapport complet

...

L'intégralité de l'article est réservée à nos abonnés: 

 

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

 

Abonnement individuel par eMail personnalisé

 

Renseignements  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

 


 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires