La sécurité des applications Web fait référence divers processus, technologies ou méthodes pour protéger les serveurs, applications et services Web tels que les API contre les attaques effectuées par Internet. La sécurité des applications Web est essentielle pour protéger les données, les clients et les organisations contre le vol de données, les interruptions de la continuité des activités ou d’autres conséquences néfastes de la cybercriminalité.
Selon la plupart des estimations, plus des trois quarts de la cybercriminalité visent les applications et leurs vulnérabilités. Les produits et politiques de sécurité pour les applications Web s’efforcent de protéger les applications par des mesures telles que les pare-feux applicatifs Web (WAF), l’authentification des utilisateurs multifactorielle (MFA), l’utilisation, la protection et la validation des cookies pour maintenir l’intégrité de l’état de l’utilisateur et de ses informations confidentielles, et diverses méthodes de validation des entrées utilisateur visant à assurer qu’elles ne sont pas malveillantes avant qu’elles ne soient traitées par une application.
Le monde d’aujourd’hui fonctionne sur des applications, qu’il s’agisse de banque en ligne, de travail à distance, de diffusion de programmes de divertissements ou de commerce électronique. Il n’est pas étonnant que les applications soient la cible principale des attaquants, qui exploitent des défauts de conception pi vulnérabilités dans les API, le code source ouvert, les widgets tiers et le contrôle d’accès.
Les attaques courantes contre les applications Web incluent :
Une étude récente1 a estimé que la cybercriminalité coûtera 5 200 milliards de dollars en valeur perdue dans toutes les industries d’ici 2024. Une autre a estimé que les pertes atteindront 6 000 milliards de dollars par an à cette date2. Des dispositifs et technologies de sécurité sont essentiels pour limiter, voire éliminer, ces coûts. En plus du vol direct de données ou de valeur financière, les menaces sur les applications Web peuvent endommager les ressources, la clientèle et la réputation des entreprises. La sécurité des applications Web est donc un impératif pour les organisations de toutes tailles.
Les différentes approches de la sécurité des applications Web répondent à des vulnérabilités différentes. Les pare-feux d’applications Web (WAF), parmi les plus complets, protègent contre de nombreux types d’attaques en surveillant et en filtrant le trafic entre l’application Web et tout utilisateur. Configuré avec des politiques visant à déterminer quel trafic est sûr et quel trafic ne l’est pas, un WAF peut bloquer le trafic malveillant, empêchant à la fois le trafic d’atteindre l’application et l’application de diffuser des données non autorisées.
D’autres méthodes de sécurité des applications Web se concentrent par exemple sur l’authentification des utilisateurs et la gestion des accès, les scanners de vulnérabilité des applications, la gestion des cookies, la visibilité du trafic ou les listes d’IP refusées.
Advanced WAF de F5 peut aider les entreprises à protéger leurs applications et les données sensibles de leurs clients en atténuant les vulnérabilités applicatives avec un cryptage de la couche application et une analyse comportementale appuyée par un apprentissage machine et une connaissance des menaces (threat intelligence).
Silverline Web Application Firewall offre une protection des applications sous la forme d’un service géré en cloud pour les entreprises intéressées par l’efficacité opérationnelle, la flexibilité et support technique expert.
WebSafe et MobileSafe de F5 protègent contre les activités frauduleuses en contribuant à sécuriser les transactions risquant d’impliquer des appareils mobiles ou navigateurs non sécurisés, tout en restant transparents pour les utilisateurs.
1 Chris Thompson, Quel sera le coût de la cybercriminalité pour votre entreprise financière ?, Accenture (15 juillet 2019)
2 Rapport annuel officiel sur la cybercriminalité 2019, Cybersecurity Ventures (décembre 2018)