Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Importance de la sécurité des applications Web

Importance de la sécurité des applications Web
2009-09-102013-02-11bonnes pratiquesfr
Pour de très nombreuses entreprises, la sécurité des applications web est un problème clairement sous-estimé. Le risque est cependant bien réel et les conséquences peuvent avoir des conséquences désastreuses tant d'un point de vue financier mais aussi d'image de marque. Pourquoi la...
Publié le 10 Septembre 2009 par Jean-François Audenard dans bonnes pratiques
Pour de très nombreuses entreprises, la sécurité des applications web est un problème clairement sous-estimé. Le risque est cependant bien réel et les conséquences peuvent avoir des conséquences désastreuses tant d'un point de vue financier mais aussi d'image de marque.

Pourquoi la sécurité des applications web est importante :

- C'est un nouvel "eldorado" pour les pirates et attaquants de tout type ; surtout dans un contexte ou le "Cloud computing" et autres services hébergés (SaaS notamment) est en plein essor. Le risque va donc mécaniquement croître.

- C'est un problème quasiment méconnu des directions en charge de la communication "on-line" qui pilotent le développement de sites Internet.

- Le risque est bien présent : Encore récemment, je suis intervenu en support au sujet d'un site Internet "victime" de multiples failles d'injection SQL. Sur ces dernières semaines, de nombreux incidents ont encore faits les gros titres à sensation.
Tous les secteurs d'activités sont concernés : La banque online, les sites gouvernementaux, les portails d'entreprise, les plateformes de blogging, les systèmes de prospections prospection commerciale, etc...  Les sites Internet des opérateurs télécoms et des ISP sont eux aussi concernés par ce problème.

La sécurité des applications web est effectivement un sujet complexe à maitriser.

Quelques pistes et axes de travail:

- Dans les contrats de développement d'applications web, exprimez vos attentes quant au niveau de sécurité attendu des applications qui vous seront livrées par votre prestataire. Ne faites pas l'erreur de pensez que cela sera sécurisé dans le demander explicitement.

- Si vos applications sont développées en interne, sensibilisez et formez vos développeurs à aux techniques et méthodes de développement sécurité. Faites de même si vous êtes une société spécialisée dans les services de développement ("WebAgency") : C'est une façon de vous différencier vis-à-vis de vos concurrents et de générer des revenus complémentaires.

- Prévoyez au budget 2010 une enveloppe pour auditer vos applications web accessibles sur le web : Un test de pénétration effectué par un prestataire compétent permettra de mettre en évidence les failles les plus évidentes ; donc celles qui tomberont en premier en face d'un attaquant moyennement motivé/compétent.

- Préparez-vous à l'éventualité d'un problème de sécurité sur vos applications accessibles sur Internet : Identifiez les compétences et expertises internes que vous pourrez solliciter et surtout ne partez pas en conflit avec votre prestataire : Négociez ensemble la correction des failles identifiées.

3 Commentaires

  • 25 Février 2011
    2011-02-25
    par
    L' internet n' est pas fait pour être sécurisé ... tout simplement ... le chemin va être long ...

  • 9 Novembre 2009
    2011-02-25
    par
    Le programme de cette journée semble des plus intéressants !
    Bonne continuation.
    JF
  • 9 Novembre 2009
    2011-02-25
    par
    Israël crée le buzz à Paris le 16 novembre 2009. CONCOURS DE HACKING : "web application hacking challenge”


    Hacking de banque virtuelle, dans le cadre du 4ème forum franco-israélien de sécurité.

    Le concours sera précédé d'une démonstration d'une demi-heure par les meilleurs experts israéliens.
    Conditions pour participer :

    Avoir reçu la confirmation de votre inscription au forum franco-israélien de sécurité.
    Etre muni d'un laptop avec connexion wifi, batteries chargées.
    Etre équipé du logiciel Paros proxy ( http://www.parosproxy.org/download.shtml )


    Le vainqueur gagnera un Ipod Touch.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage