Récemment, un article paru dans Test-Achats a retenu mon attention : sur 100 boutiques en ligne analysées, 55 présentaient des vulnérabilités. 23 d’entre elles contenaient de très graves vulnérabilités, offrant à des pirates la possibilité d’extraire des données sensibles ou de mener des attaques de hameçonnage via leur propre site.
Notre problème à tous
En théorie, toutes les applications web présentent des failles. Qu’il s’agisse d’un problème au niveau du code de votre site, ou d’une librairie externe dont vous n’utilisez pas encore la toute dernière version, il y a toujours quelque chose à optimiser. Si vous maintenez correctement votre application web, vous pouvez atténuer fortement la gravité de ces vulnérabilités, mais il est impossible de les éviter toutes.
Montrer l’exemple
Il y a peu de temps, mon collègue Maxime a évalué les applications web de TCM. Clairement préoccupé par la sécurité de ses données, TCM a fait appel à EASI pour s’assurer que les informations de leurs clients étaient bien protégées. Heureusement, aucune faille sérieuse n’a été décelée, mais nous avons pu formuler des recommandations pour augmenter encore la sécurité de leur environnement web. TCM et EASI ont implémenté ensemble les recommandations proposées.
Sécuriser les applications web en permanence
La sécurité doit retenir l’attention à tous les niveaux de l’application – base de données, API, front-end, réseau et surtout… le niveau humain. Il y a beaucoup de choses à prendre en compte, mais il y a aussi des balises globales qui peuvent s’avérer utiles. Que pouvez-vous faire, concrètement ? Voici quelques conseils.
Premièrement, je vous recommande d’engager quelques bons développeurs, au fait de la problématique de la sécurité, en les sélectionnant aussi sur la base de leur connaissance de la sécurité. S’ils n’ont pas de problème à sauvegarder le mot de passe de quelqu’un dans un texte lisible par tous dans un cookie ou imprimer des informations sensibles sur la console du navigateur en pensant que personne d’autre qu’eux ira regarder, toutes les autres mesures de sécurité qui pourront être prises n’auront aucun sens. La sécurité doit être au cœur du développement de chaque application, et ne pas se limiter à un contrôle que l’on exécute ultérieurement.
Deuxièmement, placez un Web Application Firewall (WAF) avant vos serveurs web. Un WAF scanne les demandes adressées à votre site web et bloque la connexion si quelqu’un essaie d’envoyer quelque chose qui ressemble à un trafic anormal pour votre site. Le WAF tient aussi une base de données des vulnérabilités qui est mise à jour plus rapidement que votre site web en cas de détection d’une faille - une sorte de base de données des signatures antivirus. Le WAF peut donc bloquer beaucoup de tentatives d’intrusions ou d’attaques contre les failles de votre serveur. Ne considérez cependant pas le WAF comme le principal et unique outil de sécurité. Les vulnérabilités doivent encore être atténuées sur le serveur web lui-même !
Troisièmement, il est important de faire de fréquentes mises à jour. Assurez-vous que vous utilisez bien les dernières versions des librairies de code externes et exécutez régulièrement des scans des vulnérabilités afin d’être sûr qu’un nouveau problème n’a pas surgi dans vos systèmes, à la suite d’une mise à jour du code, ou de l’ajout de nouvelles fonctionnalités, ou tout simplement parce que des pirates ont inventé de nouveaux types d’attaques.
Enfin, et surtout, travaillez avec un partenaire professionnel spécialisé dans la sécurité. Un partenaire capable de vous accompagner à tous les niveaux, pour mettre en œuvre et maintenir la meilleure configuration de sécurité possible pour votre environnement. EASI peut vous aider sur tous ces plans et bien plus encore !
