BLOG

En matière de sécurité, il n’existe pas d’application non critique

Miniature de Lori MacVittie
Lori MacVittie
Publié le 09 avril 2018

À la bataille des Thermopyles , raconte l'histoire, Léonidas et sa bande de trois cents Spartiates furent vaincus non pas à cause de l'assaut frontal attendu. Non, c'est parce que les Perses se sont faufilés autour d'eux et les ont débordés grâce à un étroit sentier de chèvres qui leur a donné un point d'appui derrière la ligne spartiate défendant les Portes Chaudes*.

C’était peut-être une erreur stratégique de ne pas protéger la voie d’attaque la moins évidente, un chemin de chèvre. Avec le recul, on voit bien que ne pas protéger chaque point d’entrée potentiel peut s’avérer dévastateur.

Avons-nous donc tiré les leçons de l’histoire ou sommes-nous condamnés à la répéter ?

Sur la base des résultats de notre enquête sur l’état de la fourniture d’applications 2018, nous faisons de notre mieux pour le répéter.

Ce que montre ce graphique, c'est que 2 % des organisations utilisent un WAF pour protéger… rien. Aucune de leurs applications n’est protégée par la technologie. À l’inverse, 13 % des organisations protègent toutes leurs applications (100 %) avec un WAF.

La majorité des organisations se situent quelque part entre les deux, avec 34 % qui protègent un quart ou moins (1 à 24 %) de leurs applications. Ces applications sont probablement similaires aux Hot Gates. Ce sont les plus visibles, ceux que vous promouvez et faites connaître. Ce sont ceux qui génèrent le plus de trafic et qui sont, logiquement, la voie d’attaque la plus probable.

Le reste sont des sentiers de chèvres. Des sentiers étroits et envahis par la végétation menant au centre de données, rarement utilisés et moins susceptibles d'être attaqués. Ou du moins c'est ce que vous espérez.

En tant qu’industrie, nous avons tendance à parler en termes d’applications « critiques ». Voici les applications dont les entreprises ont besoin pour fonctionner à chaque minute de chaque jour. Il s’agit de votre CRM, de votre SFA, de votre boutique en ligne, des API que vos partenaires utilisent pour vous envoyer des affaires. Ce sont ceux dont nous parlons avec révérence. Vous devez les protéger des attaques, les adapter à la demande et améliorer leurs performances afin que même les consommateurs les plus exigeants soient ravis de l’attention que vous portez à l’expérience utilisateur.

Nous avons tendance à ignorer les applications « non critiques ». Parfois, nous les plaçons même dans un cloud public quelque part sans tenir compte de la mise en place des points de contrôle de sécurité dont ils ont besoin pour protéger les données et les informations d'identification.

Aujourd'hui, je dis que, comme ce chemin de chèvre qui s'est avéré être un point d'entrée si critique dans les défenses des Spartiates, il en va de même pour toutes ces « autres » applications. S’ils se connectent à Internet – et du fait de leur connexion à un réseau, ils le font probablement – ils constituent un point d’entrée potentiel pour les attaquants. S'ils exploitent les mêmes plateformes et protocoles que vos applications « critiques » – et c'est probablement le cas – ils représentent alors un risque pour toutes les applications car ils partagent les mêmes vulnérabilités.

Il suffit d’un seul chemin étroit vers le réseau via n’importe quelle application pour mettre l’ensemble de l’organisation (l’entreprise) en danger. Prendre pied sur une application ou un serveur ouvre une multitude de voies à explorer pour les attaquants. Des informations d’identification aux connexions, un seul point d’attaque à l’intérieur du centre de données (qu’il s’agisse d’un cloud public ou sur site) constitue une menace plus grande que nous ne voulons le penser.

Il n’y a aucune raison d’ignorer les applications « non critiques » en matière de sécurité, et en fait, il existe des centaines, voire des milliers de bonnes raisons de leur prêter attention et de fournir la protection offerte par un WAF. Informations d'identification des employés. Données personnelles. Itinéraires vers d’autres applications et services plus intéressants.

En matière de sécurité, il n’existe pas d’application non critique.

N’ignorez pas les sentiers de chèvres au profit des portes chaudes.


*Oui, les Perses auraient probablement gagné de toute façon, mais maintenant, nous ne le saurons jamais, n’est-ce pas ?