Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité applicative : l’organisation, clé de la réussite !

octobre 2012 par Emmanuelle Lamandé

La sécurité applicative sera indéniablement l’un des axes majeurs de l’année 2013. Pourtant, force est de constater à ce jour que la majorité des initiatives lancées en la matière échouent. Pourquoi ? Quelle organisation faut-il mettre en œuvre pour garantir le succès d’une politique de sécurité applicative ? Gérôme Billois et Matthieu Garin, Solucom, nous livrent les clés de la réussite à l’occasion des Assises de la Sécurité.

Pour Matthieu Garin, Manager au sein de la practice Sécurité & Risk management chez Solucom, le constat est simple : les applications sont de plus en plus nombreuses et exposées. La sécurité applicative se trouve au centre des nouvelles menaces et des intrusions récentes. Les menaces sont, d’ailleurs, de plus en plus applicatives et les cas de compromission toujours plus fréquents :
 Citibank : une modification d’url a permis le vol de 360.000 données de clients ;
 Sony : 100 millions de données joueurs ont été dérobées via une injection SQL ;
 LinkedIn : une injection SQL a eu pour conséquence le vol de 6 millions de mots de passe ;
 Etc.

De leurs côtés, les entreprises tentent de mettre sur pied des initiatives visant à renforcer la sécurité applicative, mais force est de constater que la majorité d’entre elles échouent. D’ailleurs, 100% des applications auditées par Solucom en 2011/2012 présentent au moins une faille de sécurité Pourquoi ? Les équipes sécurité, historiquement centrées sur la protection des infrastructures, sont souvent éloignées des problématiques des études, des chefs de projet applicatifs et des développeurs. Les initiatives de sécurisation se multiplient (méthodologie de développement, gestion des identités, analyses de risques projets, Web application firewall, chiffrement des bases, tests et recettes…), mais montrent rapidement leurs limites du fait de cette distance et des incompréhensions qui en découlent. De manière générale, le RSSI manque d’expertise applicative, concernant la revue de code, les standards techniques en la matière, la sensibilisation des développeurs… Sans compter que les tests de vulnérabilités applicatives sont effectués en général trop tard.

Centraliser l’ensemble des actions au sein d’une Cellule en charge de la Sécurité Applicative

Que faire alors ? Il convient, dans un premier temps, de partir de l’existant, à savoir toutes les initiatives qui existent en termes de sensibilisation des développeurs et de revue de code. Comme l’explique Matthieu Garin, l’objectif serait de centraliser l’ensemble des actions au sein d’une équipe de spécialistes, que Solucom appelle la SecApp ou Cellule en charge de la Sécurité Applicative. Cette cellule a pour principales missions de :
 Sécuriser les applications sur toutes les étapes du projet ;
 Maintenir et améliorer la sécurité dans le temps ;
 A terme, rendre les gens autonomes en la matière.

Tous les profils applicatifs doivent composer cette cellule : les architectes applicatifs, les chefs de projets applicatifs, les développeurs… tout en capitalisant sur les équipes existantes, en particulier les ISP. En moyenne, il faut compter 1 membre SecApp pour 50 ETP développeurs.

Toutefois, pour qu’elle soit efficiente, cette cellule doit également avoir un lien fort avec les acteurs de l’entreprise : le RSSI, tout d’abord, (politique/réglementaire, indicateurs/reporting), mais aussi avec les achats (contrats et sécurité des achats d’applications externalisées), les études/MOA (captation de projet…), et la production (mise en production, gestion des incidents/audits/crises, etc.).

Objectif : simplifier la sécurité applicative pour tous

Gérôme Billois, Manager au sein de la practice Sécurité & Risk management chez Solucom, distingue 3 niveaux de maturité pour la SecApp :
 La SecApp réalise : elle doit aller sur le terrain pour constater et comprendre, réaliser elle-même un certain nombre d’actions. Il conseille de cibler, dans un premier temps, les 5 à 10 projets clés ;
 Elle capitalise : il s’agit ici de mettre sur pied un pilier de conception et d’aide à la conception, au développement, ainsi qu’un pilier de contrôle. L’objectif est de simplifier au maximum la démarche et d’éviter autant que faire ce peut de tout réinventer à chaque projet. Pour ce faire, la cellule pourra s’appuyer sur des référentiels internationalement reconnus (par exemple celui de l’OWASP), et insister sur la formation des opérationnels ;
 Enfin, elle offre des services : on entre alors dans la phase d’industrialisation, avec la création de services. La cellule va pouvoir définir différents catalogues de services en fonction de la sensibilité du projet, mais aussi identifier les coûts et les délais associés à chaque service.

L’enjeu est clairement de simplifier la sécurité applicative dans son ensemble pour tous, mais aussi que l’entreprise dispose d’une équipe de spécialistes applicatifs, qui soit au plus près des interlocuteurs concernés. La SecApp facilite progressivement l’intégration de la sécurité dans l’entreprise et augmente à terme le niveau d’autonomie des équipes.

La mise en place d’une telle cellule repose sur un véritable travail de fond qui dure en moyenne de 3 à 5 ans. Un certain nombre d’entreprises se sont déjà lancées dans ce type de projets, avec aujourd’hui des niveaux de maturité différents. C’est donc un concept qui est d’ores et déjà opérationnel.


Voir les articles précédents

    

Voir les articles suivants