3 raisons pour lesquelles vos applications vous rendent vulnérable

C’est bien connu, vous adorez vos applications Web. Elles fidélisent les clients et boostent la productivité des employés. 

Mais pouvez-vous vraiment leur faire confiance ? Non.

Pendant que vous focalisez votre attention sur le temps passé à mettre vos applications sur le marché, leurs performances et leur fréquence d’utilisation, un détail vous échappe. La sécurité. Les applications sur lesquelles reposent toutes vos espérances peuvent contenir des failles susceptibles de mettre en danger votre entreprise.

Il ne s’agit pas de failles subtiles qui nécessitent des techniques cybercriminelles hypersophistiquées pour être exploitées et causer des dommages. Même s’il est vrai que ces attaques se retrouvent généralement à la une des journaux, elles restent peu probables.

Les applications sur lesquelles reposent toutes vos espérances peuvent contenir des failles susceptibles de mettre en danger votre entreprise.

Non, il s’agit de vulnérabilités banales et courantes que les hackers exploitent littéralement en mode « pilotage automatique ». Pendant que vous lisez ces quelques lignes, un hacker vient de lancer une analyse automatisée de sites Web avant d’aller prendre un café. C’est justement le temps nécessaire pour générer une longue liste de cibles. Les 10 vulnérabilités les plus courantes et bien connues des hackers représentent 85 % des attaques réussies. Votre entreprise pourrait facilement être la prochaine victime.

<40%

Moins de 40 % des applis développées en interne satisfont aux exigences de sécurité.

Vous ne laisseriez pas votre portefeuille à la vue de tout le monde. Alors, pourquoi ne pas appliquer cette règle à vos applications ? Les hackers peuvent vous piéger de trois façons :

1. Vos applications ne sont pas sécurisées au niveau du code

Il est beaucoup plus facile de former des développeurs et de prévenir les problèmes que de devoir corriger des défauts, une fois vos applications entre les mains des utilisateurs. Pourtant, peu d’entreprises utilisent un codage sécurisé.

Dans le cadre d’une enquête, plusieurs développeurs d’applications ont été interrogés sur leurs connaissances en matière de sécurité de base. La majorité d’entre eux ont échoué. Ce constat n’était guère surprenant puisque la moitié avait participé à moins d’une journée de formation à la sécurité au cours de leur carrière. Pourquoi si peu de formation ? Les responsables attribuent généralement les fonds à d’autres priorités.

2. Vous ne détectez les vulnérabilités de l’application que trop tard

AUne nouvelle vulnérabilité Zero Day est identifiée chaque semaine, selon Symantec. Développer un codage sécurisé est un bon début, mais c’est loin d’être suffisant. En effet, des erreurs parviennent toujours à se glisser dans vos applications. Alors, que faire ? Détectez les vulnérabilités avant les hackers. Il vous faut donc tester, tester, tester.

Selon Veracode, moins de 40 % des applications développées en interne satisfont aux exigences de sécurité lorsqu’elles sont testées pour la première fois. Quant aux applications développées par des tiers, les résultats sont pires (seulement 28 % d’entre elles ont réussi le test). Alors, continuez à tester et à corriger. Peaufinez, puis répétez. Un grand nombre d’outils sont disponibles. En plus de sécuriser le codage, vous réduirez considérablement les risques en réalisant des tests de vulnérabilité.

3. Vous ne corrigez pas les vulnérabilités connues suffisamment rapidement

Selon WhiteHat Security,  plus de la moitié des entreprises mettent 200 jours, voire plus, pour corriger des failles de sécurité, et deux tiers d’entre elles seulement corrigent 40 % des vulnérabilités qu’elles identifient. Ce laps de temps, plus de six mois, est largement suffisant aux hackers pour saboter votre application, voler, divulguer ou compromettre des données sensibles, ou faire d’autres dégâts.

La meilleure stratégie

Installez un pare-feu pour les applications Web (WAF) pour gagner du temps pendant que vous corrigez vos applications. Il s’agit de pare-feu matériels ou logiciels spécifiquement conçus pour bloquer les tentatives d’exploitation du trafic Web (HTTP/S) et des applications Web. Beaucoup de pare-feu WAF disposent de services d’analyse dédiés capables d’apporter des correctifs automatiques en cas de vulnérabilités détectées dans vos applications Web. Vous pouvez également adhérer à des services WAF à la demande pour laisser à des organismes tiers le soin de gérer ce fardeau.

Petite question avant de finir…

Utilisez-vous vos budgets informatiques intelligemment ? Les applications Web grand public représentent une source importante de violations, selon le Rapport 2016 sur la sécurité des applications du SANS Institute. Pourtant, plus de la moitié des entreprises (51 %) consacrent 1 % ou moins de leur budget informatique à sécuriser leurs applications. Ces chiffres sont surprenants, et il y a pire : parfois les entreprises interrogées ne savent même pas ce qu’elles dépensent.

Ça donne à réfléchir.

En effet, vos applications se trouvent sur la ligne de front opposant vos ennemis. Cependant, en attribuant un budget suffisant pour les corriger et en tenant compte des trois étapes ci-dessus, vous serez à même de réduire votre risque global.