Les bases de la sécurité applicative par Christophe Guyard, PDG de Bee-Ware - Actualités CSO Documentation

Les bases de la sécurité applicative par Christophe Guyard, PDG de Bee-Ware

le 17/09/2008, par Christophe Guyard, Documentation, 448 mots

Les bases de la sécurité applicative par Christophe Guyard, PDG de Bee-Ware

Les applications Web deviennent un élément critique pour les organisations modernes. Toute faille doit être anticipée. La diversité de la couche applicative complexifie cette sécurité. Les robots, les scanners et autres aspirateurs de sites, tout comme les utilisateurs "malicieux" ou la navigation en dehors des liens, sont autant de mécanismes ou de comportements qui peuvent s'avérer très dangereux pour le processus applicatif. De plus, la majorité des applications n'est pas exempte de vulnérabilités, d'absence de contrôle ou de carence de conformité avec une réglementation. Vue sous l'angle produit, la mise en oeuvre d'une politique de sécurité est le rôle d'un dispositif de type pare-feu. Les pare-feux appliquent une politique de sécurité sur les flux entrants et sortants. En revanche, définir une politique de sécurité au niveau applicatif apparaît comme plus difficile. La politique doit-elle inclure tout ce qui est susceptible d'être autorisé ? Cette approche, dite positive, s'avère vite longue, complexe, et très consommatrice de ressources humaines. La politique doit-elle être basée sur tout ce qui est interdit ? Cette méthode, dite négative, pose aussi de nombreux problèmes puisque les attaques applicatives, et encore plus les comportements anormaux, ne peuvent être connus à l'avance. Il arrive fréquemment que certaines requêtes, bien que légitimes parce que mises en oeuvre par l'application, puissent malgré tout comporter un risque parce que basées sur une programmation faible. On ne peut cependant pas les interdire sans que ce ne soit toute l'application elle-même qui soit bloquée. Que doit alors faire l'administrateur sécurité confronté à de telles requêtes ? Les administrateurs de sécurité applicative doivent étudier quelques questions-clés : - Quel est le processus métier traité, les ressources les plus sensibles et où sont les vulnérabilités potentielles ? - Quels sont les types de flux de données? - Comment l'authentification est-elle réalisée? Une politique de sécurité applicative repose sur la détection de toute utilisation anormale de l'application qui pourrait induire des résultats non anticipés par le programmeur. Cette politique consiste à définir un profil d'utilisation licite de l'application tout en mettant en évidence ses parties les plus sensibles ou vulnérables. Différents mécanismes de détection, complétés par un ensemble varié de modes de réponse, pourront alors bloquer, contrôler ou signaler toute utilisation anormale de l'application et tout événement potentiellement dangereux. Des mécanismes de détection proactifs doivent la prémunir contre les fuites d'information, la corruption des données ou les indisponibilités applicatives. Ce profil de l'application et de son utilisation doivent également être complétés par un ensemble de directives représentant les obligations (administratives, légales...) auxquelles doit répondre l'entreprise. Ainsi, au niveau applicatif, la sécurité doit adresser l'application, son utilisation et sa mise à disposition. Bee-Ware est un fournisseur de pare-feux applicatifs. Cet article a été rédigé par le PDG de la société.

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Le marché de la sécurité ne connait pas la crise

Les ventes de solutions de sécurité informatiques devraient croître de plus de 7% par an entre 2012 et 2017 pour atteindre à cette date les 30 Md$, prévoit le cabinet d'étude Canalys. La sécurité fait figure...

le 14/08/2013, par Fabrice Alessi, 345 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »