Qu’est-ce que la sécurité des applications ?

La sécurité des applications désigne les technologies, outils et processus destinés à protéger les applications (Web, cloud et SaaS) des menaces internes et externes. Parce que les applications Web contiennent souvent des données sensibles et sont accessibles sur de multiples réseaux, la sécurité des applications Web constitue désormais un aspect clé des stratégies de cybersécurité. Les solutions de sécurité des applications Web peuvent inclure du matériel, tel qu’un routeur chiffré, des logiciels, une analytique de la sécurité par exemple, ainsi que des outils de mise à disposition d’applications, comme un contrôleur de mise à disposition d’applications avec un pare-feu d’applications Web et des fonctions d’exécution intégrés pour protéger les API.

Qu’est-ce que la sécurité des applications cloud ?

La sécurité des applications cloud est assurée par des solutions et des pratiques visant à protéger l’échange de données au sein d’environnements cloud collaboratifs, tels que Slack, MS Office 365 et Sharefile. Les mesures courantes de sécurité des applications cloud incluent des tests de sécurité des applications et des passerelles Web sécurisées pour protéger les utilisateurs distants. En raison de la popularité croissante des applications cloud et SaaS, des appareils de l’Internet des objets et des applications d’hébergement dans le cloud, la sécurité des applications cloud constitue désormais un aspect clé des solutions de sécurité des applications.

L’architecture de sécurité des applications cloud constitue un autre élément clé. Alors que l’infrastructure technologique des entreprises continue d’évoluer vers des déploiements de cloud hybride et des environnements multi-cloud, les entreprises ont besoin d’une vue complète de la façon dont la sécurité de leurs applications cloud est configurée. On parle d’architecture de la sécurité des applications cloud. En évaluant la sécurité de leurs applications cloud dans le cadre de connexions cloud, comme les déploiements de datacenters d’entreprise, les passerelles applicatives, les services cloud et les systèmes de vérification de l’identité, les entreprises peuvent concevoir une architecture de sécurité des applications cloud capable de protéger les données sensibles à l’intérieur des applications cloud.

  • Pourquoi la sécurité des applications d’entreprise est-elle importante ?
  • Quels sont les outils courants pour la sécurité des applications ?
  • Bonnes pratiques en matière de sécurité des applications

Pourquoi la sécurité des applications d’entreprise est-elle importante ?

Si les entreprises utilisent des applications depuis des dizaines d’années, la plupart des applications professionnelles que les utilisateurs finaux exigent sont des applications Web ou cloud. Les entreprises ont également souvent recours au stockage sur le cloud et au déploiement dans le cloud pour leurs applications. Elles sont ainsi davantage exposées à un risque d’attaque, car la technologie de serveur Web, les cas de données et les technologies de sites Web comme CGI, Java, JavaScript, PERL et PHP, présentent tous des faiblesses de sécurité sous-jacentes. Les navigateurs et autres applications client qui communiquent avec les applications Web présentent également des faiblesses que les acteurs malveillants peuvent exploiter. Et parce que toutes ces applications Web sont connectées à plusieurs réseaux et/ou clouds, une violation d’une application Web peut aisément mettre en danger toute une entreprise.

43 % de ces violations incluent des attaques visant les applications Web1. Par ailleurs, alors que les entreprises dépendent de plus en plus des services cloud, les applications cloud, applications hébergées depuis une infrastructure cloud et autres ressources cloud, risquent d’être de plus en plus la cible d’attaques d’acteurs malveillants. La plupart des violations de sécurité des applications cloud sont motivées par l’appât du gain, souvent via l’obtention de données sensibles et d’informations privées en vue d’une demande de rançon, ou via l’accès non autorisé à un site Web ou à un serveur Web en vue de son contrôle. Afin de réduire les risques de sécurité, les entreprises ont besoin de solutions de sécurité logicielles capables de couvrir l’ensemble de leur infrastructure applicative, y compris les applications cloud, mobiles et SaaS.

Quels sont les outils courants pour la sécurité des applications ?

83 % des applications présentent des failles de sécurité, 1 application sur 5 présentant au moins une faille très grave2. Ceci étant dit, la meilleure stratégie de sécurité des applications Web consiste à utiliser plusieurs couches afin de protéger les applications Web et cloud de plusieurs vecteurs d’attaque. Il existe de nombreux outils pour la sécurité des applications, qui peuvent être divisés en deux catégories : la sécurité au niveau du développement et la sécurité au niveau informatique.

La sécurité des applications au niveau du développement

La sécurisation des applications commence dès le cycle de vie du développement logiciel, avec la création d’un code source selon des pratiques de développement sécurisées (DevSecOps). La sécurisation du code nécessite une connaissance des menaces courantes pesant sur les applications Web : injection SQL, DdoS, logiciels malveillants, déni de service et violation de session d’authentification. Les 10 principales menaces répertoriées par l’OWASP3  représentent les menaces courantes en matière de sécurité des applications Web que les développeurs doivent prendre en compte dans leur code source. Parce que les mises à jour logicielles peuvent entraîner l’apparition de nouvelles vulnérabilités applicatives, les développeurs doivent tester la sécurité des applications afin d’identifier les failles pendant le cycle de vie d’une application. Ceci est particulièrement vrai pour les applications open source, car il est plus facile pour les acteurs malveillants de détecter des vulnérabilités.

Gartner affirme que les responsables informatiques ont besoin de se protéger contre les méthodes d’attaque courantes, plutôt que de se contenter d’identifier les erreurs de sécurité liées au développement des applications4. Ceci est particulièrement vrai lorsque les entreprises emploient des applications Web qu’elles n’ont pas conçues elles-mêmes. La sécurité logicielle nécessite une défense capable de bloquer les attaques connues, dont l’histoire et les caractéristiques sont identifiables, mais aussi les attaques inconnues, qui sont souvent détectées car elles diffèrent du trafic normal enregistré par les sites Web et les services Web d’une entreprise.

Découvrez comment Citrix Application Security aide à conserver une posture de sécurité cohérente.

En simplifiant le processus de protection de votre écosystème d’applications et d’API, Citrix Application Security offre au service informatique une visibilité complète, qui lui permet de stopper les menaces avant que les violations ne se produisent.

La sécurité des applications au niveau informatique

  1. Mise à disposition sécurisée des applications
    Alors que de plus en plus d’entreprises adoptent l’infrastructure multi-cloud, elles ont besoin d’une posture de sécurité des applications solide, capable de protéger les API ainsi que les applications monolithiques et de microservices. La meilleure solution consiste à adopter une sécurité de mise à disposition d’applications robuste, incluant un contrôleur de mise à disposition d’applications (ADC) avec une base de code unique pour tous les facteurs de forme ADC. Le service informatique est ainsi en mesure d’appliquer plus facilement des stratégies de sécurité cohérentes au sein des environnements multi-cloud, notamment en mettant sur liste noire ou liste blanche certaines adresses IP ou en utilisant le protocole TLS pour chiffrer les API en transit entre le client et le serveur API.
  2. Gestion de la mise à disposition des applications
    Une autre solution courante pour la sécurité de la mise à disposition des applications consiste à associer un ADC à une plateforme de gestion de la mise à disposition des applications (ADM). Les solutions ADM offrent une visibilité sur la mise à disposition d’applications monolithiques et de microservices au sein des environnements distribués. Elles offrent ainsi aux administrateurs informatiques un aperçu des performances et de l’utilisation des applications et API, afin de signaler les activités suspectes et les dégradations de performances.
  3. Sécurité des données applicatives
    Parce que les applications accèdent aux données de l’ensemble de l’entreprise, la sécurité des données applicatives est cruciale. Les méthodes courantes de sécurité des données applicatives incluent la centralisation et l’hébergement des données sensibles au sein du datacenter de l’entreprise, l’adoption de solutions de partage de fichiers sécurisé pour réduire la perte de données, ainsi que l’isolation des données en transit et au repos dans des conteneurs. Ces mesures veillent à ce que les applications accèdent uniquement aux données dont elles ont besoin, et protègent cet accès contre les cyberattaques.
  4. Pare-feu d'applications Web
    Parce que les applications Web sont constamment exposées à de nouvelles menaces, il est important de protéger les applications Web contre les attaques connues et inconnues. Les pares-feux d’applications Web constituent une solution prouvée, notamment lorsqu’ils emploient un modèle de sécurité positif, fondé sur l’intelligence artificielle et le Machine Learning, pour surveiller les interactions des utilisateurs et le comportement des applications. Les entreprises sont ainsi en mesure de limiter les attaques inconnues, de garantir le respect de normes de type PCI-DSS, et de bénéficier d’insights pour un dépannage plus rapide. Les pares-feux d’applications Web sont souvent intégrés aux contrôleurs de mise à disposition d’applications, mais ils sont également disponibles sous la forme d’un service autonome ou hébergé.
  5. Stratégie de sécurité d’accès et de sécurité des applications
    Les télétravailleurs peuvent accéder aux applications cloud de presque partout. Il est donc important pour les entreprises d’adopter des outils de sécurité des applications, capables de garantir un accès contextuel et sécurisé à ces applications Web et cloud, afin de tenir les acteurs malveillants à distance. Le contrôle d’accès est étroitement lié à la sécurité Zero Trust, car il oblige les utilisateurs distants à confirmer leur identité via une authentification multifacteur avant d’autoriser l’accès aux applications cloud. Pour simplifier l’expérience des outils de sécurité des applications, les solutions d’authentification unique (SSO) constituent un moyen prisé alliant accès sécurisé et simplicité d’utilisation.
  6. Espace de travail digital sécurisé
    Les collaborateurs souhaitent accéder aux applications cloud et aux applications hébergées dans le cloud depuis toutes sortes d’appareils mobiles, y compris personnels. Afin de favoriser les stratégies BYOD tout en protégeant les applications, il est utile de demander aux télétravailleurs de se connecter à un espace de travail digital sécurisé pour accéder à l’ensemble de leurs applications cloud. Cela renforce la sécurité des données et des applications cloud en fournissant aux collaborateurs tout ce dont ils ont besoin pour travailler au sein d’un workspace unique, et en permettant au service informatique d’appliquer des protocoles de sécurité complémentaires pour ce même workspace, tels qu’un pare-feu de datacenter sur site.
  7. Sécurité réseau
    Lorsque les télétravailleurs et les travailleurs des succursales ont besoin d’accéder à des applications cloud, ils peuvent avoir recours à des connexions Internet locales à la cybersécurité médiocre. Pour protéger cette surface d’attaque contre un accès local à Internet, les entreprises doivent adopter une solution SD-WAN consolidée offrant une sécurité solide à la périphérie du WAN. Celle-ci doit inclure un pare-feu à états, qui permet aux équipes informatiques de définir centralement des stratégies limitant ou refusant le trafic par application et par zone.
  8. Surveillance et analytique
    Même si elles testent régulièrement la sécurité de leurs applications, il est important pour les entreprises d’avoir de la visibilité sur l’ensemble des applications SaaS, cloud et mobiles, ainsi que sur la façon dont elles sont utilisées. C’est là que la surveillance et l’analytique des applications entrent en jeu. Ces outils fournissent une évaluation continue du risque pour l’ensemble des utilisateurs et des applications, et signalent les comportements inhabituels afin de détecter les menaces externes ou internes avant qu’elles ne mènent à une violation. Il est courant d’intégrer les outils de surveillance et d’analytique des applications aux solutions de gestion de la mise à disposition d’applications, afin d’offrir une visibilité sur l’ensemble des environnements au sein de l’infrastructure de mise à disposition des applications d’une entreprise.

Bonnes pratiques en matière de sécurité des applications

Parce que les grandes entreprises emploient en moyenne 129 applications différentes5, s’atteler à la sécurité des applications peut sembler être un défi de taille. Néanmoins, n’importe quelle entreprise peut commencer à améliorer la sécurité de son infrastructure applicative en suivant les bonnes pratiques suivantes :

  1. Évaluer la sécurité des applications
    La première bonne pratique à suivre en matière de sécurité des applications consiste à mener une évaluation de la sécurité des applications. Celle-ci vous permet d’identifier les applications dont vous disposez, qui les utilise et quelles obligations réglementaires ou de conformité vous devez respecter. Le premier point vous fournira une idée précise des applications que vous devez tester et sécuriser ; le second point vous aidera à créer des protocoles de sécurité d’accès et Zero Trust adaptés à votre entreprise. Enfin, la question de la conformité vous aidera à savoir comment garantir la sécurité des données pour tous les types d’informations privées auxquelles vos applications peuvent accéder. Les normes de type PCI-DSS et HIPAA ont leurs propres règles quant à la façon dont les données des applications Web doivent être sécurisées.
  2. Tester la sécurité des applications
    Lorsque vous bénéficiez d’une vue claire de l’ensemble de vos applications et utilisateurs, il vous faut ensuite tester la sécurité de vos applications Web et cloud. Cette bonne pratique en matière de sécurité des applications vous aidera à identifier les vulnérabilités potentielles et les problèmes de sécurité au sein de ces applications, afin d’éviter de futures violations. Il est utile d’avoir recours à des outils de test de la sécurité ou à des services de test de la pénétration tiers, afin d’éviter les aprioris potentiels et les angles morts en interne.
  3. Traiter les vulnérabilités
    Maintenant que vos tests ont révélé des vulnérabilités potentielles dans vos applications, la bonne pratique suivante en matière de sécurité des applications consiste à adopter un programme de sécurité capable de traiter ces faiblesses. Pour cela, vous pouvez mettre en œuvre un planning strict de mise à jour des logiciels, afin de veiller à ce que tous les collaborateurs au sein de votre entreprise utilisent les patchs de sécurité les plus récents. Une autre bonne idée peut être de faire appel à des fournisseurs de technologie ou à des équipes de sécurité extérieurs, capables de vous aider à renforcer la sécurité de votre accès, la sécurité de vos informations et votre sécurité mobile. Vous pourrez ainsi adopter les outils de sécurité des applications adaptés à votre portefeuille applicatif, plutôt que de payer pour des outils superflus.

Ressources supplémentaires

Prochaine étape