Avec 90 % des attaques ciblant la couche applicative, la protection des applications doit être une priorité. En particulier sur le Web.
Selon des chiffres du département américain de la sécurité intérieure, 90 % des attaques ciblent la couche applicative (en particulier sur le web). Heureusement, le marché propose deux approches complémentaires pour se protéger : l’une placée devant l’application à protéger, et l’autre en son cœur !
Le WAF en frontal des applications web
Le pare-feu applicatif web (WAF, pour Web Application Firewall) se place devant l’application et filtre le trafic qui lui est destiné. Fonctionnant à base de signatures le WAF va rechercher les signes d’attaques connues.
Le WAF ne demande pas de toucher à l’application, et il sera donc idéal pour protéger une application vieillissante impossible à améliorer (lorsqu’un règlement tel PCI-DSS lui impose un certain nombre de fonctionnalités de sécurité !).
La protection automatique du runtime (RASP)
Alors que le WAF est externe à l’application, l’approche du Runtime Application Self-Protection (RASP) est résolument interne : il s’agit de s’intercaler entre le code de l’application et les bibliothèques qui lui sont nécessaires, afin d’intercepter les appels jugés dangereux.
Si le RASP présente de nombreux avantages par rapport au WAF, il souffre de la nécessité d’accéder dans certains cas au code source de l’application et de déployer un outil spécifique sur le serveur. En outre ces outils ne supportent à l’heure actuelle que les technologies Java et .NET !
Exigez l’OWASP Top 10 !
La meilleure façon de protéger une application est de bien la concevoir dès le départ !
Pour cela l’association américaine Open Web Application Security Project (OWASP) œuvre depuis 18 ans à sensibiliser les développeurs web aux bonnes pratiques du développement sécurisé. Elle diffuse un outil contractuel d’une redoutable efficacité : une annexe prérédigée que tout donneur d’ordre pourra inclure au contrat de développement web qu’il s’apprête à signer. Celle-ci liste les 10 points-clés de sécurité que l’application devra respecter pour être recevable. C’est simple, c’est très efficace et c’est gratuit !
https://www.owasp.org/index.php/OWASP_Secure_Software_Contract_Annex