Appréhendez l’importance de la sécurité
En 2012, la société Yahoo a été piratée. À cause d’une mauvaise configuration de la sécurité des bases de données, les mots de passe des utilisateurs ont été rendus publics. Vous pouvez imaginer à quel point cela a nui à l’entreprise et combien d’argent elle a perdu – sans parler de l’effet que cela a eu sur plus de 450 000 utilisateurs !
Une faille aussi importante aurait-elle pu être évitée ?
Probablement ! De nombreuses attaques sur les applications web sont dues à de mauvaises pratiques de développement, qui sont à l’origine des vulnérabilités découvertes et exploitées.
De plus en plus d’entreprises utilisent des applications web pour traiter des données privées, telles que des informations personnelles (nom, date de naissance, numéro d’identification national, etc.) ou des données bancaires. Toutes ces données représentent un attrait considérable pour un attaquant.
Une fuite de données due à un piratage a un impact majeur sur l’image d’une entreprise. Ces dommages se matérialisent bien souvent par des pertes financières. Le cas de Yahoo n’est pas une exception : de nombreuses entreprises sont victimes de piratage exposant les données des utilisateurs. Mais ce n’est pas tout, l’image de marque des entreprises piratées est également écornée en cas d’attaque.
Avez-vous cliqué sur le lien et regardé si l’un de vos comptes a déjà été compromis ?
Dans ce cours, nous parlerons des atteintes à la protection des données qui découlent d’attaques courantes. Ces violations sont spécifiquement liées aux applications web.
Découvrez comment les entreprises gèrent les risques
La mise en place de pratiques de développement sécurisées au sein d’une entreprise peut représenter un budget considérable. Toutes les entreprises ont des actifs qu’elles doivent protéger. Ces actifs peuvent être des équipements physiques tels que des serveurs, mais aussi des données que l’entreprise doit protéger. C’est pour cette raison que les entreprises doivent mettre en place une politique de gestion des risques, comprenant la gestion de la responsabilité de la sécurité de l’entreprise.
Cependant, cette politique ne sera pas la même en fonction de la valeur des actifs.
En matière de gestion du risque, le modèle DIC permet d’évaluer le niveau de sécurité.
Le modèle DIC, pour Disponibilité, Intégrité et Confidentialité, fournit trois indicateurs à prendre en compte dans sa gestion de risque :
Disponibilité : Il s’agit de s’assurer que le système, ou l’application, soit accessible sur une plage définie au préalable. Des attaques de type Distributed Denial of Service (ou DDOS) sont spécialement conçues pour cibler la disponibilité d’un système.
Intégrité : Ce critère implique que les données ou le système soient exactement ceux qui sont attendus et ne sont pas soumis à quelconque altération. Une modification d’un libellé ou d’un prix dans une base de données, ou encore la modification d’un fichier du code d’une application est un souci d’intégrité.
Confidentialité : Toutes les données ne sont pas forcément accessibles à tout le monde. C’est une problématique de confidentialité si un utilisateur accède à la donnée privée d’un autre utilisateur.
Prenons un exemple.
Si j’ai un ensemble de données d’une valeur de 10 € et que je dois investir 100 € pour les sécuriser, est-ce que cela vaut la peine de les sécuriser ? Probablement pas.
Mais qu’en est-il des données qui pourraient valoir des millions d’euros et qui nécessitent un investissement de 100 000 € pour les sécuriser ?
Faites face aux vulnérabilités connues
Il est important de faire des recherches sur les outils de votre environnement de développement pour être au courant de toutes les vulnérabilités et des méthodes d’atténuation. Documentez tous les modules, API et bibliothèques utilisés, ainsi que les vulnérabilités connues afin de garder une trace des actions effectuées.
Comment savoir si un des outils que j’utilise présente une vulnérabilité connue ?
Pensez à consulter les bases de données sur le web. La base de données Common Vulnerabilities and Exposures (en anglais), créée par le MITRE, est un excellent outil à utiliser.
En résumé
Les atteintes à la protection des données sur les applications web sont courantes et se produisent même dans les grandes entreprises.
Une attaque sur une application web peut faire perdre à une entreprise beaucoup d’argent et sa réputation.
Le risque est mesuré en comparant la valeur des données au coût de leur sécurisation.
Nous venons de voir comment les entreprises peuvent gérer le risque. Dans le prochain chapitre, nous aborderons les réglementations à respecter.