De nos jours, la plupart des informations se trouvent facilement sur le web. Un pirate n’a pas besoin d’entrer dans un immeuble pour obtenir des données, il peut le faire directement depuis chez lui ! Cela signifie que les entreprises doivent mettre en place des mesures de sécurité pour se protéger des attaques potentielles.
Identifiez les principales réglementations de sécurité pour les applications web
Découvrez le RGPD
En 2018, le règlement général sur la protection des données (RGPD) est entré en vigueur. Il modifie la manière dont les données personnelles sont stockées et utilisées et la façon dont les entreprises les traitent. Il permet aux résidents de l’Union européenne de contrôler leurs informations personnelles, comme leur nom, leur âge, leur affiliation politique et leur orientation sexuelle, par exemple.
Les entreprises ne respectant pas le RGPD sont passibles d’une amende. Bien qu’il soit basé sur la législation de l’Union européenne, il concerne tous les pays car les applications web sont disponibles dans le monde entier. Les entreprises en dehors de l’UE qui font du business avec des entreprises européennes devront respecter le RGPD pour leurs applications web à destination du marché européen.
Comment savoir si mon application web répond bien à ces normes ?
Un des éléments primordiaux est de veiller à garantir la sécurité des données personnelles stockées et échangées via l’application web. Les données collectées doivent aussi répondre à un usage spécifique. Une des bases du règlement général sur la protection des données est la notion de consentement. Celui-ci doit être libre, spécifique, éclairé et univoque.
Libre : Le consentement doit être donné librement, sans pression ni influence extérieure. La personne doit avoir la possibilité de faire un choix éclairé, sans craindre des répercussions négatives en cas de refus.
Spécifique : Le consentement doit être valide pour un seul traitement, déterminé au préalable.
Éclairé : Le consentement doit être demandé en fournissant toutes les informations nécessaires à la compréhension de l’impact de son acceptation.
Univoque : Un consentement doit être donné de manière claire, sans aucune ambiguïté ou aucun doute.
De plus, il est nécessaire de donner la possibilité à l’utilisateur d’exercer leurs droits :
droit d’accès (obtenir une copie de ses données) ;
droit à l’oubli ;
droit de rectification (changements dans les données) ;
droit à la portabilité ;
droit de s’opposer au traitement ;
droit de s’opposer aux transferts des données à des tiers ;
droit au recours contre les décisions automatisées.
Par exemple, si un utilisateur veut se désabonner d’une newsletter, il faut s’assurer qu’il existe une option permettant le désabonnement. Une fois qu’une personne se désabonne, l’adresse e-mail doit être automatiquement supprimée de la base de données.
Découvrez la norme PCI DSS
La norme Payment Card Industry Data Security Standard (PCI DSS) est une norme établie pour toutes les entreprises qui traitent des données bancaires. La sécurisation des données bancaires met l’accent sur la sécurité lors de la transmission, du traitement et du stockage des données.
De plus en plus de plateformes web et de solutions de stockage gèrent les applications pour les entreprises, il est essentiel que le fournisseur soit également conforme à la norme PCI DSS.
Si vous créez une application web qui traite des données bancaires, comme une boutique en ligne ou un site web par abonnement, vous devez chiffrer les transmissions pour garantir la sécurité des données en transit. Les données bancaires transmises en texte clair constituent une violation de la norme PCI DSS, ce qui peut faire l’objet d’une amende.
Appréhendez la réglementation du traitement des données sensibles
Les données de santé sont des données à caractère personnel particulières car considérées comme sensibles. Elles font à ce titre l’objet d’une protection spécifique inscrite dans de nombreux textes comme le règlement européen sur la protection des données personnelles, la loi Informatique et Libertés, le Code de la santé publique, etc., afin de garantir le respect de la vie privée des personnes.
Découvrez l’OWASP
L’Open Web Application Security Project (OWASP) est un organisme impartial, mondial et sans but lucratif. Il s’agit du premier effort de normalisation des pratiques de développement sécurisé.
En 2001, l’OWASP n’était pas une organisation officielle, mais plutôt un collectif qui offrait des préconisations.
Ce collectif a pris de l’ampleur et est devenu l’OWASP foundation en 2004, avec une norme éthique pour maintenir une neutralité et l’absence de pressions commerciales.
L’OWASP n’est réglementée par aucune entreprise. Entre autres activités, elle évalue les dix principaux risques pourla sécurité des applications web et préconise un développement logiciel sécurisé.
Appréhendez l’ASVS
Vous l’aurez compris, ce cours fonctionne étroitement avec les différentes ressources présentes et fournies par l’OWASP.
Mais savez-vous que l’OWASP ne fournit pas seulement un Top 10 des vulnérabilités, mais aussi d’autres outils pour répondre aux problématiques de sécurité ?
L’un de ces outils est appelé ASVS, pour Application Security Verification Standard, ou en français : Standard de vérification de la sécurité des applications.
L’ASVS en est actuellement à sa 4ᵉ version, la 5ᵉ étant déjà en cours de création.
Dans sa version actuelle, l’ASVS concerne trois niveaux différents :
Une application atteint le premier niveau si elle est capable de se défendre de manière adéquate face à des vulnérabilités de sécurité qui sont les plus simples à découvrir et qui figurent dans le Top 10 de l’OWASP.
Le second niveau, qui est le niveau jugé comme standard, est atteint lorsque l’application se défend contre la plupart des risques associés aux logiciels actuels.
Le troisième niveau, quant à lui, est le plus haut niveau de vérification de l’ASVS, et est généralement réservé aux applications qui requièrent de fortes exigences de sécurité, comme les domaines de la santé, les infrastructures critiques ou encore l’armée.
La destination de cet outil est large. Il peut aussi bien être utilisé par les architectes, les développeurs, les testeurs ou les professionnels de la sécurité, pour définir, construire, tester et vérifier des applications sécurisées.
Plus concrètement, le standard ASVS peut représenter trois axes d’utilisation.
Le premier, c’est servir de métrique. Il s’agit là de fournir aux développeurs ou aux propriétaires d’applications un critère permettant d’évaluer le degré de confiance que l’on peut accorder aux applications web.
Le second, c’est servir de guide, pour fournir des conseils aux développeurs sur les bonnes pratiques de sécurité et comment satisfaire les multiples exigences de sécurité des applications.
Enfin, le troisième axe est de servir en amont de la conception, pour spécifier plus précisément les différentes exigences de vérification de la sécurité des applications dans les contrats.
Vous comprenez que le standard ASVS pourra devenir une ressource clé, quel que soit votre profil :
un acheteur, qui veut émettre des exigences de sécurité précises, pertinentes et majoritairement connues ;
un développeur, qui souhaite créer du code répondant à un bon niveau de sécurité ;
un auditeur, qu’il soit pentesteur ou qualité, pour permettre de structurer sa recherche de vulnérabilité et pouvoir fournir un reporting détaillé écrit en suivant un framework.
Pour en savoir plus sur l’ASVS, rendez-vous sur le site de l’OWASP (en anglais).
Découvrez d’autres ressources de l’OWASP
L’OWASP est une référence en matière de ressource de sécurité informatique, par son Top 10, mis à jour tous les 3 à 4 ans, mais aussi avec ses différents outils et projets comme :
des “cheatsheets”, ou antisèches en français, qui fournissent des fiches pratiques sur différents thèmes. Celles-ci sont librement consultables sur le site des cheatsheets de l’OWASP ;
le Web Security Testing Guide, ou WSTG. Il s’agit d’une ressource sur les tests de cybersécurité pour les applications web. Ce guide est à destination des développeurs ou des professionnels de la sécurité ;
Zap, pour “Zed Attack Proxy”, un outil de sécurité qui fonctionne comme scanner de vulnérabilité, se positionnant comme un proxy, entre le pentester et l’application web à auditer ;
le ModSecurity Core Rule Set (CRS), qui est un ensemble de règles de détection d’attaques à utiliser avec ModSecurity.
En tant que développeur web, il est important d’apprendre comment sécuriser votre application, afin qu’elle ne soit pas vulnérable aux attaques courantes. Le Top Ten de l’OWASP fournit des lignes directrices à suivre permettant de respecter les bonnes pratiques pour protéger une application web.
Cela vous permettra de prendre en compte la sécurité dès vos premiers développements et apportera également une crédibilité supplémentaire à vos clients ou à l’entreprise pour laquelle vous travaillez. Suivre les recommandations de l’OWASP et utiliser ses outils est le meilleur moyen de sécuriser votre application web, en particulier si vous visez la conformité avec le RGPD ou une certification comme PCI-DSS ou ISO27001.
En résumé
La confidentialité, l’intégrité et la disponibilité sont les trois types de besoins de sécurité de l’information.
Le RGPD encadre légalement la collecte et le traitement des données personnelles.
PCI DSS assure la conformité de la sécurité des sites qui traitent les données bancaires.
Le traitement des données sensibles (dont celles de santé) est réglementé par la CNIL et nécessite une prise en charge particulière.
L’OWASP est une organisation à but non lucratif qui propose des référentiels sur les risques de sécurité des applications web. Le Top Ten 2021 de l’OWASP est la dernière mise à jour sur les risques de sécurité des applications web aujourd’hui.
L’ASVS est un standard de vérification de la sécurité fournissant une liste de critère permettant de valider des niveaux de sécurité garantis
Dans les chapitres suivants, vous découvrirez une vue d’ensemble de l’OWASP et des dix principales attaques.
