Documentation

Inscrivez-vous flux rss

imprimerenvoyerrecevoir

Les clients doivent aider les ASP à sécuriser leur plate-forme


Edition du 24/09/2008 - par Jean Claude Streicher

De plus en plus de processus métiers basculent en service ASP ou en mode SaaS via internet. Mais le client doit s'assurer lui-même de la bonne sécurisation des accès gérés par le fournisseur.

Le mode ASP, explique Yann Allain, consultant en sécurité des systèmes d'information pour la société Opale Security, ne pose pas seulement un problème de propriété des données, mais aussi de sécurisation des accès. Il s'exprimait lors du forum Eurosec du 17 septembre 2008, organisé par Devoteam.

Les risques d'attaques par rebond via le navigateur ne sont pas à négliger. Elles permettent de voir et de modifier les données des autres clients, en dépit des compartimentations. Qui est alors responsable du préjudice ? Le contrat l'a-t-il prévu ? Dans de tels cas, observe le consultant, c'est toujours le client qui pâtit d'une perte d'image, jamais l'opérateur.

Le mode ASP apporte de l'autonomie vis-à-vis de la DSI. Il donne une vision précise des coûts, mais entraîne de nouvelles contraintes. Il oblige le client à vérifier la sécurité de son fournisseur. Ses accès ASP, en effet, ne doivent pas être moins protégés que ses accès internes.

Comment s'en assurer ? Plusieurs approches sont possibles. Selon le consultant, demander une certification Iso 27001 ne donnera qu'un indicateur, pas une garantie en soi. Mieux vaut faire soi-même des audits et lancer des tests d'intrusion, y compris sur les applications secondaires du fournisseur.

Mais ceux-ci n'apprendront rien sur les bonnes pratiques appliquées par l'ASP. A la suite des tests d'intrusion, Yann Allain conseille donc également d'envoyer des questionnaires et de vérifier sur place les réponses qui leur auront été données. Tous les risques doivent être maîtrisés pour les applications critiques. Or la sécurisation des couches applicatives est généralement mal faite. Il faut donc pas hésiter à discuter avec le responsable de la sécurité du prestataire. Celui-ci doit pouvoir prouver qu'il est conforme à la politique de sécurité de chacun de ses clients.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires
Pour commenter cet article inscrivez vous ou identifiez vous ci-dessous si vous êtes déjà inscrit :

Email :
Mot de passe :  oublié ?
Mémoriser mes identifiants
L'ACTUALITÉ DU JOUR
Europol au coeur du futur système de cyber-alerte européen

L'Europe fait un effort pour centraliser les informations sur la cybercriminalité. Le (...)

Les opérateurs mobiles et la grande distribution expérimenteront le paiement mobile

Les opérateurs télécoms et les acteurs de la grande distribution ont annoncé mardi (...)

Etude mondiale CIO/PWC : la sécurité trop souvent réduite à un problème technique

Menée au niveau mondial par le cabinet PriceWaterHouseCoopers (PWC) en partenariat (...)

Dangers du web : une hotline à l'écoute des parents et des mineurs

La ministre de l'Intérieur Michèle Alliot-Marie, et le Secrétaire d'Etat chargé du (...)

5000 PC contaminés par un vieux virus dans les hôpitaux londoniens

Trois hôpitaux de Londres sont presqu'entièrement de nouveau en ligne, après que (...)

Spam : les soubresauts d'un réseau de PC zombies

Seulement deux semaines après avoir été démantelé, Srizbi, un gros botnet (ou réseau (...)

Symantec joue les infiltrés dans les réseaux de cybercriminels

Le rapport de l'éditeur Symantec décrit une véritable économie planétaire du cybercrime. (...)
Recherche
Sondage flash
Communications unifiées : l'offre à voir en priorité est celle de
Conférences
29/01/2009
JOURNEE TELECOMS : CONVERGENCE ET MOBILITE AU SERVICE DE LA COMPETITIVITE DE L'ENTREPRISE
De 8h30 à 14h00 à l'Automobile Club de France - Paris
  s'inscrire
conférencestoutes les
conférences
Agenda
Du mercredi 3 décembre 2008 au mercredi 3 décembre 2008
FTTH 2008 - Télécom Paris Tech Alumni
TELECOM ParisTech, 46 rue Barrault, Paris 13e
en savoir plus
agendatout
l'agenda