«Vous sécurisez l’infrastructure… Et vos applications?»

«Non seulement vous devez déceler les vulnérabilités de vos applications, mais il vous faut encore les corriger et demeurer vigilants tout au long du cycle de vie, de la phase de spécification à la mise en production.»

Jerry Saelemakers, Technical Consultant, HP Software BeLux


D’emblée, on songe aux firewalls, à tous ces systèmes de sécurité périphérique. Utiles, c’est sûr. Mais insuffisants, estime Jerry Saelemakers. De fait, ils ne protègent pas les applications des attaques de type «injection SQL» ou «cross site scripting», à travers les lesquelles les hackers peuvent récupérer en toute impunité des données sensibles de l’entreprise ou bien encore détourner des informations transmises par un utilisateur. Le risque? Ouvrir l’accès aux données confidentielles de l’entreprise -informations concernant les clients, les employés…- ou rendre des sites marchands complètement indisponibles.

Ne nous leurrons pas: l’impact du web va croissant. Si le nombre d’applications web varie d’une entreprise à l’autre, on l’estime, en moyenne et tous secteurs confondus, entre 45 et 55% du patrimoine global. Demain, ce sera bien plus avec l'avènement des solutions en mode SaaS et du Web 2.0..… Bref, au-delà du coût financier lié à la perte ou au vol de données, c’est avant tout l’activité même de l’entreprise qui est menacée, sans parler de son intégrité et de sa réputation. Aussi, il devient essentiel de disposer d'outils adaptés pour auditer, tester et valider la sécurité des logiciels.

«La sécurité des applications est un processus extrêmement complexe et changeant qui va bien au-delà de la mise en place de points de contrôle technique, confirme Jerry Saelemakers. Si la prise de conscience des risques liés à la cybercriminalité est bien réelle, les entreprises n’ont pas encore toutes acquis la maturité nécessaire pour détecter efficacement ce type d’attaque.» Un point de vue confirmé par Gartner: 80% des entreprises auront fait l’expérience d’incidents liés à la sécurité de leurs applications web d’ici à 2009!

Détecter les vulnérabilités des applications web, les corriger et les prévenir. C’est le rôle de HP Application Security Center. L’ambition est d’améliorer la collaboration entre les équipes de développement, d’assurance qualité et d’exploitation au sein du département informatique.

HP Application Security Center inclut HP Assessment Management Platform comme fondement de la solution, auquel s’ajoutent HP Devinspect pour les développeurs, HP QAinspect pour les équipes d’assurance qualité et HP Webinspect pour les experts en sécurité et exploitation.

HP Devinspect associe des analyses statiques et des analyses dynamiques pour déceler les vulnérabilités. Les actions correctives se concentrent sur les vulnérabilités les plus critiques. L’outil guide les développeurs dans la création d’un code sain au sein de leur environnement de développement. La solution est compatible avec Visual Studio 2008, Visual Studio 2005 et Eclipse.

HP QAinspect inclut la première fonction de gestion des anomalies de sécurité, intégrée avec le logiciel HP Quality Center. Grâce à des fonctions de scénarisation des défauts et de consolidation des résultats, les équipes informatiques peuvent filtrer, affecter des priorités et lister les défauts en fonction des risques encourus par l’entreprise. Les informations sur les failles de sécurité sont disponibles durant tout le cycle de vie de l’application: développement, assurance qualité, exploitation et sécurité. Les problèmes de sécurité sont ainsi rapidement détectés et réglés.

HP WebInspect a été enrichi de «runtimes» plus rapides et d’un scanner plus précis des vulnérabilités les plus exploitées par les pirates. Parmi celles-ci: le «cross-site scripting» et l’«injection SQL». Objectif: aider les équipes d’exploitation et de sécurité à rechercher plus efficacement les failles de sécurité et à les colmater.

1- Sous-estimer les conséquences à long terme d’un processus de sécurité trop léger

Les défauts de sécurité ne sont pas toujours évidents à repérer. Plusieurs itérations dans l’analyse du code sont parfois nécessaires pour les détecter. Ainsi, beaucoup d’entre eux restent latents et se reproduisent au fil des versions et des années. Bref, ne plus sous-estimer le processus de sécurité au cours du cycle de développement au risque de voir le phénomène s’amplifier avec le temps.

2- Négliger la sécurité au seul profit de la richesse fonctionnelle

Quand le temps vient à manquer, la tendance est de mettre de côté les aspects liés à la sécurité. C’est très net lors des pics d’activité, l’effort est alors porté quasi exclusivement sur les besoins métier et la mise à disposition d’un maximum de fonctionnalités demandées par les utilisateurs. A tort, la richesse fonctionnelle des applications est privilégiée au détriment de la sécurité.

3- Avoir une vue réductrice du dispositif de sécurité

Les responsables applicatifs, les développeurs et les utilisateurs ne sont pas toujours conscients des problèmes de sécurité potentiels ou déclarés. La mise en place de firewalls, de droits d’accès et d’authentification ne peut suffire. La sécurité applicative dépasse les systèmes de contrôle réactifs. Les exigences de sécurité doivent être prises en compte le plus en amont possible.

4- Ne pas intégrer la sécurité dans la phase de développement

Une fois les spécifications fonctionnelles établies et les projets passés en vitesse de croisière, priorité est données à l’écriture du code… en négligeant les exigences de sécurité. S’il est essentiel d’éduquer et de former les développeurs sur les aspects de sécurité, c’est aussi au chef de projet qu’incombe la responsabilité de faire des exigences de sécurité l’un des pivots de son projet applicatif.

5- Survoler la sécurité au moment des tests

Les défauts se détectent le plus souvent au moment des tests unitaires, donc très tôt dans le cycle d’assurance qualité. Pourtant, les tests de sécurité sont soit postposés, soit planifiés à la fin des phases de test, par exemple au moment des tests d’intégration, voire dans le cadre de la surveillance post-production. Le risque est de passer à côté de défauts de sécurité majeurs.

6- Ne pas utiliser les outils en matière de tests de sécurité

Développer en ayant la sécurité à l’esprit est une chose; utiliser les outils adéquats au cours du cycle de développement pour repérer des défauts imperceptibles à première vue en est une autre. Il est essentiel de disposer d’outils de test de sécurité exploitables durant le threat modeling, le codage, l’assurance qualité et les phases d’audit de sécurité en production…