BLOGUE – Aujourd’hui, les attaques sont de moins en moins réalisées sur les serveurs ou sur les réseaux car ceux-ci sont de mieux en mieux protégés. La plupart des vulnérabilités s’est donc déplacée vers les applications web et sont donc devenus la porte d’entrée des pirates au sein d’une organisation.
Vous rencontrez très souvent des applications web : lorsque vous vous connectez au site Internet de votre banque pour consulter le solde de votre compte, ou lorsque vous réalisez un achat sur la toile. Dans ces deux cas, et dans bien d’autres, vous accédez à une application web, susceptible de contenir des données confidentielles. Il convient donc de lui apporter un niveau maximal de sécurité. Mais comment définit-on ces critères de sécurité?
Tony Fachaux, expert Sécurité chez LINKBYNET, possède une expertise de pointe dans le domaine de la sécurité de l’information au sein d’organisations internationales fortement assujetties à la réglementation et aux meilleures pratiques d’affaires. Tony Fachaux est majoritairement intervenu sur des projets de conformité et d’architecture dans le domaine de la sécurité des TI. Je l’ai interrogé à propos de la définition des critères de sécurité pour les applications web.
Pouvez-vous nous expliquer quels sont les critères de sécurité d’une application web?
« Afin de disposer d’une infrastructure sécurisée les critères DICP doivent être respectés. Pour rappel, voici la définition de ces critères :
- Disponibilité : l’information doit être continuellement disponible.
- Intégrité : l’information ne doit pas être altérée.
- Confidentialité : l’information doit être uniquement accessible aux personnes autorisées.
- Preuve/Traçabilité : Tous les mouvements de données doivent être tracés. »
Et comment définit-on ces critères de sécurité?
« Chaque application dispose de ses propres critères DICP en fonction de la politique de sécurité de l’entreprise ainsi que des besoins d’affaires exprimés par le client. Les besoins en disponibilité d’une application ou la confidentialité des données peuvent être plus ou moins forts.
« Une application hébergeant des données peu confidentielles nécessitera moins de sécurité qu’une application qui contient des données très confidentielles voire secrètes. Tous ces besoins sont généralement déterminés par le métier puis transmis aux équipes TI afin de les traduire en besoins techniques. »
Pouvez-vous nous donner des exemples de classifications de données?
« Au niveau des données, on peut de manière générale découper les données en quatre grandes classifications :
- Les données dites très confidentielles ou secrètes. Ce sont des données extrêmement sensibles pour le métier. Par exemple, des données bancaires ou encore des secrets de fabrication pour l’industrie.
- Les données dites confidentielles. Ce sont les données relatives au métier de l’entreprise ou les données relatives aux collaborateurs (salaire, adresse, etc.).
- Les données restreintes qui sont des données qu’on restreint à certains services (la planification de projet, par exemple).
- Les données publiques qui sont les données qu’on retrouve sur le site web de l’entreprise en général (informations produits, tarification, etc.).
« Cependant, on constate des besoins métiers faussés par le coût qu’ils peuvent engendrer. En effet, il n’est pas rare de constater une déclassification des données afin de diminuer le niveau de sécurité et donc les coûts et les délais de mise en œuvre. Une pratique un peu douteuse mais tout à fait pratiquée au sein des organisations.
« Il convient donc de vérifier si les besoins métiers sont en cohérence avec les données hébergées dans l’application.
« En résumé, se lancer tête baissée dans l’installation d’une architecture sans avoir réfléchi aux besoins de sécurité est une erreur. Il faut adapter l’architecture aux besoins de sécurité. Les entreprises utilisent l’informatique pour répondre à des besoins d’affaires et omettent encore trop souvent d’y inclure le besoin de sécurité qui est pourtant fortement lié à ce besoin d’affaire.
« En effet, une donnée altérée dans une application ne répondrait alors plus au besoin d’affaire initial. Pour prendre un exemple simple : est-ce que vous vous imaginez consulter votre compte bancaire en ligne qui contiendrait de mauvaises informations? » conclut Tony Fachaux.
Après cette analyse des critères de sécurité, mon prochain billet traitera des règles de base concrètes à mettre en place pour protéger vos applications web.