Les clients doivent aider les ASP à sécuriser leur plate-forme

le 24/09/2008, par Jean Claude Streicher, Documentation, 313 mots

De plus en plus de processus métiers basculent en service ASP ou en mode SaaS via internet. Mais le client doit s'assurer lui-même de la bonne sécurisation des accès gérés par le fournisseur. Le mode ASP, explique Yann Allain, consultant en sécurité des systèmes d'information pour la société Opale Security, ne pose pas seulement un problème de propriété des données, mais aussi de sécurisation des accès. Il s'exprimait lors du forum Eurosec du 17 septembre 2008, organisé par Devoteam. Les risques d'attaques par rebond via le navigateur ne sont pas à négliger. Elles permettent de voir et de modifier les données des autres clients, en dépit des compartimentations. Qui est alors responsable du préjudice ? Le contrat l'a-t-il prévu ? Dans de tels cas, observe le consultant, c'est toujours le client qui pâtit d'une perte d'image, jamais l'opérateur. Le mode ASP apporte de l'autonomie vis-à-vis de la DSI. Il donne une vision précise des coûts, mais entraîne de nouvelles contraintes. Il oblige le client à vérifier la sécurité de son fournisseur. Ses accès ASP, en effet, ne doivent pas être moins protégés que ses accès internes. Comment s'en assurer ? Plusieurs approches sont possibles. Selon le consultant, demander une certification Iso 27001 ne donnera qu'un indicateur, pas une garantie en soi. Mieux vaut faire soi-même des audits et lancer des tests d'intrusion, y compris sur les applications secondaires du fournisseur. Mais ceux-ci n'apprendront rien sur les bonnes pratiques appliquées par l'ASP. A la suite des tests d'intrusion, Yann Allain conseille donc également d'envoyer des questionnaires et de vérifier sur place les réponses qui leur auront été données. Tous les risques doivent être maîtrisés pour les applications critiques. Or la sécurisation des couches applicatives est généralement mal faite. Il faut donc pas hésiter à discuter avec le responsable de la sécurité du prestataire. Celui-ci doit pouvoir prouver qu'il est conforme à la politique de sécurité de chacun de ses clients.

Introduction à la ligne de commande Linux

Voici quelques exercices d'échauffement pour ceux qui commencent à utiliser la ligne de commande Linux. Attention, ça peut devenir addictif ! Si vous démarrez dans Linux ou si vous n'avez simplement jamais...

le 12/02/2020, par Sandra Henry-Stocker, Network World (adaptation Jean Elyan), 724 mots

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...