Trois choses que la sécurité des applications n’est pas
La sécurité des applications recouvre de nombreux aspects, mais nous devons parfois nous arrêter et réfléchir à ce qu’elle n’est pas, en particulier à mesure que le volume et la fréquence des applications développées et déployées pour répondre à la demande insatiable continuent d’augmenter.
1. Ce n’est pas une priorité absolue, mais cela devrait l’être
Un pourcentage stupéfiant de 44 % des personnes interrogées dans le cadre d'une enquête sponsorisée par Arxan et IBM sur la sécurité des applications IoT et mobiles ont admis qu'elles ne faisaient rien pour empêcher une attaque. De peur que vous ne considériez ces réponses comme étant liées à un petit sous-ensemble de votre portefeuille d'applications, examinons le rapport annuel fondateur de WhiteHat Security sur les statistiques de sécurité Web, qui a révélé que « environ un tiers des applications d'assurance, environ 40 % des applications bancaires et de services financiers, environ la moitié des applications de santé et de vente au détail, et plus de la moitié des applications de fabrication, d'alimentation et de boissons et d'informatique sont toujours vulnérables ».
Dans le jargon de la sécurité WhiteHat, « toujours vulnérable » signifie « vulnérable chaque jour de l’année ».
De plus, le même rapport révèle que « le délai moyen de résolution varie selon le secteur d’activité, d’environ 100 à 245 jours ». Pour le commerce de détail et les soins de santé, cela prend environ 200 jours. La technologie et l'informatique sont encore plus à la traîne, avec un délai moyen de 250 jours pour corriger une vulnérabilité.
C’est cette première approche laissez-faire en matière de sécurité qui rend la seconde si difficile à avaler. Si la sécurité des applications ne figure pas en tête de la liste des priorités, il est fort probable qu’un pourcentage important d’applications (ou d’API fournissant des données aux applications) soient vulnérables.
2. Pas seulement à propos de l'application
Il existe une idée fausse selon laquelle la sécurité des applications ne concerne que l’application. Si une application était une entité autonome, cela serait peut-être vrai. Mais les applications sont déployées sur des plateformes, s’appuient sur des scripts et des API tiers et s’intègrent aux systèmes chargés de gérer les données. Cela signifie que la sécurité des applications est une pile cela nécessite une attention particulière à tous les composants, pas seulement à l'application elle-même. Le Top Ten de l'OWASP est un bon point de départ pour les applications, mais n'ignorons pas que les vulnérabilités au niveau du protocole (TCP, HTTP et TLS) dans les plateformes ont été une source importante de problèmes au cours de la dernière décennie.
Et n’ignorons pas la relation entre les attaques réseau volumétriques et les attaques plus insidieuses au niveau des couches système et applicative. Dark Reading a noté cette corrélation dans un article récent :
Près de la moitié des organisations touchées affirment que leurs attaques DDoS ont coïncidé avec une forme de violation ou d’activité malveillante sur leurs réseaux, notamment le vol de données et les ransomwares. Par exemple, 47 % signalent avoir découvert une activité virale sur leur réseau après une attaque DDoS, 43 % citent des logiciels malveillants activés et 32 % signalent un vol de données clients.
La sécurité des applications nécessite de prêter attention à l’ensemble de l’architecture de l’application, qui inclut le réseau, les données et les services qui font évoluer et sécurisent cette application.
3. Ce n’est pas le problème de quelqu’un d’autre
Alors qu'une organisation sur cinq prévoit d'héberger plus de 50 % de ses applications dans le cloud selon notre enquête 2017 sur l'état de la distribution des applications , la sécurisation des applications devient de plus en plus difficile. L’envoi d’une application vers « le cloud » peut redistribuer la responsabilité d’une partie de la charge de sécurité, notamment celle des composants au niveau du réseau et du système. Mais l'application et ses plateformes ainsi que les scripts et ressources externes sur lesquels l'application s'appuie relèvent toujours de votre responsabilité. Garantir le même niveau de sécurité dans le cloud que celui présent sur site peut s'avérer difficile, en particulier lors de la combinaison et de l'association de services cloud natifs qui ne sont pas compatibles au niveau des politiques avec ceux sur site.
Mais c'est un défi qui doit être relevé, soit en garantissant la cohérence des services appliquant ces politiques sur site et dans le cloud, soit en transférant les tâches de sécurité des applications vers une offre basée sur les services qui peut offrir une cohérence pour les deux en même temps, soit en élaborant soigneusement à la main des politiques équivalentes pour les services cloud natifs.
Quelle que soit la voie que vous choisissez, la responsabilité reste la vôtre.
L’impact des violations en termes de réputation de marque, de confiance des consommateurs et de potentiel d’exploitation future (en cas de vol d’informations d’identification) rend la sécurité des applications plus importante que jamais. Laisser cela à la dernière minute ou supposer que quelqu’un d’autre s’en chargera est une recette pour un désastre. Reconnaître son importance et accorder une priorité plus élevée aux tests et à la correction tout en tirant parti des options architecturales offertes par le cloud et les services prenant en charge le cloud contribuera grandement à réduire vos risques.
La sécurité des applications n’est pas facultative.