Comment garantir la disponibilité, l'intégrité et la confidentialité de vos applications

7 MIN. LIRE

Au cours des quatre dernières décennies, les logiciels ont évolué. À l’époque du mainframe, les utilisateurs accédaient à des programmes stockés de manière centralisée sur de grands systèmes multi-utilisateurs. Dans les années 1990, l’ application typique se présentait sur un disque en plastique emballé sous film rétractable dans une boîte en carton et était installée localement et mise à jour seulement rarement.

D’une certaine manière, nous avons bouclé la boucle : les applications sont de plus en plus souvent livrées via un réseau et les développeurs application sont de plus en plus impliqués dans des rôles opérationnels et dans la sécurisation des applications qu’ils développent eux-mêmes. Dans ce monde d’applications en tant que service toujours actif, les vulnérabilités logicielles peuvent être rapidement exploitées et de simples attaques DDoS peuvent interrompre le service.

Pour les entreprises qui développent leurs propres applications, leurs programmeurs doivent produire des logiciels dans le cadre d'un cycle de vie de développement logiciel sécurisé de bout en bout (SDLC). Cela signifie se concentrer sur la réduction de la surface d’attaque des logiciels, l’élimination des vulnérabilités et la formation des développeurs à concevoir et à programmer de manière plus sécurisée.

Application des contrôles d'accès et du principe de sécurité de base

Dans le même temps, les entreprises doivent également traiter les applications cloud comme une technologie opérationnelle qui doit être gérée en toute sécurité. Étant donné que les applications cloud sont toujours connectées, elles peuvent être facilement ciblées, ce qui rend l’identification et l’élimination rapides des vulnérabilités essentielles. Pour garder une longueur d’avance sur les menaces, les entreprises doivent déployer un processus de gestion des vulnérabilités qui identifie et trie les vulnérabilités et peut automatiser rapidement la correction avec un pare-feu application Web (WAF). Un WAF est un contrôle de sécurité web critique qui peut faire gagner du temps à une entreprise en bloquant une attaque pendant que l'équipe de développement travaille à corriger le code.

Au-delà de la discussion typique sur la gestion des vulnérabilités en matière de sécurité des applications, que devriez-vous prendre en compte d’autre ? Un point de départ consiste à définir le bon contrôle d’accès. Le cadre d’authentification, d’autorisation et de comptabilité (AAA) est un guide essentiel pour garantir que vous exigez une authentification forte par défaut, à l’aide de fonctionnalités telles que l’authentification unique et l’authentification multifacteur. De plus, l’autorisation des utilisateurs sur la base d’un contrôle d’accès basé sur les rôles (RBAC) robuste qui inclut au moins trois rôles (par exemple, utilisateur non privilégié, utilisateur privilégié et administrateur) contribue à réduire les incidents imprévus. Et, si un incident se produit, assurez-vous de consigner les événements de manière appropriée pour vous aider à extraire les détails clés pour la résolution, tels que le compte utilisé et le système d'où il provient.

Parallèlement au cadre AAA, l’examen de la sécurité des applications à travers le prisme des principes de sécurité de la CIA (confidentialité, intégrité et disponibilité) peut mettre en évidence des mesures supplémentaires que les entreprises devraient prendre pour protéger leurs applications et assurer le fonctionnement des services.

1. Disponibilité : garder les lumières de application allumées

Les travailleurs s'appuyant de plus en plus sur les applications cloud, la disponibilité des services cloud est devenue essentielle aux opérations commerciales. Autrefois considérées comme une simple nuisance, les attaques DDoS sont désormais bien plus capables de perturber les opérations commerciales.

Recommandations :

• Utilisez des services d’atténuation DDoS conçus pour bloquer les attaques à la périphérie du réseau. En cas d’attaque, un tel système peut réellement vous faire économiser de l’argent car le trafic n’entraînera pas de frais supplémentaires en raison de pics d’utilisation du cloud.
• Mettre en œuvre un processus de gestion du changement. De nombreuses entreprises ont provoqué une panne de leurs propres services après avoir mis en place une mise à jour défectueuse de leur infrastructure.
• Utilisez un dispositif de protection WAF ou DDoS pour empêcher les attaques de couche 7 (au niveau de l'application).

2. Intégrité : garantir que l'application fonctionne comme prévu

Garder les portes du numérique ouvertes est la première priorité d’une entreprise. La deuxième chose est d’empêcher les méchants d’entrer. Les équipes de développement et d’exploitation doivent créer des bases sécurisées pour l’accès à toutes leurs applications et données, comme indiqué dans AAA ci-dessus. Ils doivent également gérer le contrôle des modifications afin que les modifications involontaires n’entraînent pas des performances de l’application qui auraient un impact sur l’intégrité des données.

Recommandations :

• La mise en œuvre d’outils tels que WebSafe et un WAF limite la capacité des acteurs malveillants à injecter de mauvaises données dans l’ application, protégeant ainsi contre une gamme complète de menaces pour aider à réduire les pertes et l’exposition.
• Les contrôles application qui vérifient l’exhaustivité des données sont également un excellent moyen de surveiller si l’un de vos contrôles en amont a échoué.
• Les tests automatisés de la configuration de application peuvent alerter rapidement les opérations lorsque des modifications défectueuses sont mises en œuvre.

3. Confidentialité : garder les secrets dans le cloud

La confidentialité des données doit être prise en compte lors de la collecte, du transport et du stockage, que ce soit dans le cloud ou sur site dans votre centre de données. La gestion des vulnérabilités, y compris un WAF, constitue les principaux contrôles que vous devez mettre en place pour empêcher qu'un exploit application ne compromette votre application et la confidentialité des données qu'elle contient. De nos jours, il n’y a aucune raison de ne pas utiliser la technologie TLS pour crypter les communications entre l’utilisateur et le serveur application Web. Les données conservées dans le cloud ou sur site doivent également être entièrement cryptées pour empêcher accès non autorisé.

Recommandations :

• Activer TLS/SSL par défaut. HTTPS partout !
• Chiffrez fortement les données critiques au repos, en particulier les magasins d'informations d'identification back-end. Un simple hachage de mot de passe n’est plus acceptable. Au minimum, un hachage plus du sel doit être implémenté, ou tout autre mécanisme de cryptage plus fort.
• Mettre en œuvre un programme approfondi de gestion des vulnérabilités pour détecter et trier les failles. Pour couvrir les vulnérabilités entre les déploiements de correctifs, les capacités de correctifs virtuels d'un WAF sont fortement recommandées.
• La sécurisation des applications et des infrastructures cloud est complexe, mais les considérer à travers les prismes de l’AAA et de la CIA permet aux professionnels de la sécurité d’aborder la discipline de manière holistique et de prendre des mesures qui soutiennent une stratégie de sécurité globale.

Preston Hogue est le Sr. Directeur du marketing de sécurité chez F5 Networks. Preston est responsable des campagnes de sécurité mondiales, de l'évangélisation et du leadership éclairé, y compris la supervision de l'équipe de renseignement sur les menaces des application de F5 Labs. Preston possède plus de 20 ans d’expérience dans le domaine de la sécurité de l’information, notamment dans le développement, la mise en œuvre et la gestion de programmes de sécurité complexes, l’architecture de l’analyse et de la gestion des risques et la mise en œuvre de programmes visant à répondre aux exigences réglementaires et de conformité.