Pourquoi la sécurité des applications web est importante :
- C'est un nouvel "eldorado" pour les pirates et attaquants de tout type ; surtout dans un contexte ou le "Cloud computing" et autres services hébergés (SaaS notamment) est en plein essor. Le risque va donc mécaniquement croître.
- C'est un problème quasiment méconnu des directions en charge de la communication "on-line" qui pilotent le développement de sites Internet.
- Le risque est bien présent : Encore récemment, je suis intervenu en support au sujet d'un site Internet "victime" de multiples failles d'injection SQL. Sur ces dernières semaines, de nombreux incidents ont encore faits les gros titres à sensation.
Tous les secteurs d'activités sont concernés : La banque online, les sites gouvernementaux, les portails d'entreprise, les plateformes de blogging, les systèmes de prospections prospection commerciale, etc... Les sites Internet des opérateurs télécoms et des ISP sont eux aussi concernés par ce problème.
La sécurité des applications web est effectivement un sujet complexe à maitriser.
Quelques pistes et axes de travail:
- Dans les contrats de développement d'applications web, exprimez vos attentes quant au niveau de sécurité attendu des applications qui vous seront livrées par votre prestataire. Ne faites pas l'erreur de pensez que cela sera sécurisé dans le demander explicitement.
- Si vos applications sont développées en interne, sensibilisez et formez vos développeurs à aux techniques et méthodes de développement sécurité. Faites de même si vous êtes une société spécialisée dans les services de développement ("WebAgency") : C'est une façon de vous différencier vis-à-vis de vos concurrents et de générer des revenus complémentaires.
- Prévoyez au budget 2010 une enveloppe pour auditer vos applications web accessibles sur le web : Un test de pénétration effectué par un prestataire compétent permettra de mettre en évidence les failles les plus évidentes ; donc celles qui tomberont en premier en face d'un attaquant moyennement motivé/compétent.
- Préparez-vous à l'éventualité d'un problème de sécurité sur vos applications accessibles sur Internet : Identifiez les compétences et expertises internes que vous pourrez solliciter et surtout ne partez pas en conflit avec votre prestataire : Négociez ensemble la correction des failles identifiées.
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens