Les bases de la sécurité applicative par Christophe Guyard, PDG de Bee-Ware
Les applications Web deviennent un élément critique pour les organisations modernes. Toute faille doit être anticipée. La diversité de la couche applicative complexifie cette sécurité. Les robots, les scanners et autres aspirateurs de sites, tout comme les utilisateurs "malicieux" ou la navigation en dehors des liens, sont autant de mécanismes ou de comportements qui peuvent s'avérer très dangereux pour le processus applicatif. De plus, la majorité des applications n'est pas exempte de vulnérabilités, d'absence de contrôle ou de carence de conformité avec une réglementation. Vue sous l'angle produit, la mise en oeuvre d'une politique de sécurité est le rôle d'un dispositif de type pare-feu. Les pare-feux appliquent une politique de sécurité sur les flux entrants et sortants. En revanche, définir une politique de sécurité au niveau applicatif apparaît comme plus difficile. La politique doit-elle inclure tout ce qui est susceptible d'être autorisé ? Cette approche, dite positive, s'avère vite longue, complexe, et très consommatrice de ressources humaines. La politique doit-elle être basée sur tout ce qui est interdit ? Cette méthode, dite négative, pose aussi de nombreux problèmes puisque les attaques applicatives, et encore plus les comportements anormaux, ne peuvent être connus à l'avance. Il arrive fréquemment que certaines requêtes, bien que légitimes parce que mises en oeuvre par l'application, puissent malgré tout comporter un risque parce que basées sur une programmation faible. On ne peut cependant pas les interdire sans que ce ne soit toute l'application elle-même qui soit bloquée. Que doit alors faire l'administrateur sécurité confronté à de telles requêtes ? Les administrateurs de sécurité applicative doivent étudier quelques questions-clés : - Quel est le processus métier traité, les ressources les plus sensibles et où sont les vulnérabilités potentielles ? - Quels sont les types de flux de données? - Comment l'authentification est-elle réalisée? Une politique de sécurité applicative repose sur la détection de toute utilisation anormale de l'application qui pourrait induire des résultats non anticipés par le programmeur. Cette politique consiste à définir un profil d'utilisation licite de l'application tout en mettant en évidence ses parties les plus sensibles ou vulnérables. Différents mécanismes de détection, complétés par un ensemble varié de modes de réponse, pourront alors bloquer, contrôler ou signaler toute utilisation anormale de l'application et tout événement potentiellement dangereux. Des mécanismes de détection proactifs doivent la prémunir contre les fuites d'information, la corruption des données ou les indisponibilités applicatives. Ce profil de l'application et de son utilisation doivent également être complétés par un ensemble de directives représentant les obligations (administratives, légales...) auxquelles doit répondre l'entreprise. Ainsi, au niveau applicatif, la sécurité doit adresser l'application, son utilisation et sa mise à disposition. Bee-Ware est un fournisseur de pare-feux applicatifs. Cet article a été rédigé par le PDG de la société.