Vous êtes sur la page 1sur 5

SCURIT DES APPLICATIONS WEB LE GUIDE ESSENTIEL

DANNY ALLAN, ANALYSTE SPCIALIS EN RECHERCHE STRATGIQUE

Un livre blanc dIBM

TABLE DES MATIRES

Introduction................................................................................................................................ Mthodologie dvaluation........................................................................................................ Normes et rglementations officielles mergentes................................................................... Mise en place dun contrle de gestion des risques lis aux applications Web..................... Les solutions dIBM Rational (Watchfire)............................................................................... Synthse......................................................................................................................................

1 1 1 1 2 2

Copyright 2006. Watchfire Corporation. Tous droits rservs. WebXM, Bobby, AppScan, PowerTools, le logo Bobby et le logo Flame sont des marques ou des marques dposes de Watchfire Corporation. Tous les autres produits, noms de socits et logos sont des marques ou des marques dposes de leurs propritaires respectifs. Sauf accord crit explicite dIBM, IBM dcline toute responsabilit concernant la pertinence et/ou lexactitude des informations publies dans ce livre blanc. En aucun cas, IBMe ne sera responsable des dommages directs, indirects, accessoires ou spcifiques, ou des dommages rsultant de pertes de bnfices, de chiffre daffaires, de donnes ou dutilisation, subis par vous-mme ou un tiers, suite votre consultation ou utilisation des informations publies dans ce livre blanc, et ce dans un but particulier. www.ibm.com

SCURIT DES APPLICATIONS WEB - LE GUIDE ESSENTIEL

INTRODUCTION
La scurit des applications Web ne peut plus tre ignore. De plus en plus souvent, les vols de donnes et les incidents lis aux applications Web font la une de lactualit de la scurit. Non seulement les clients exigent une traabilit de la part des entreprises, mais la lgislation, dont un exemple est la loi amricaine California Senate Bill 1386 (SB-1386), exigent davertir toutes les parties concernes en cas de violation de scurit lie des informations personnelles ou sensibles. Au cours des cinq dernires annes, deux grandes tendances ont merg sur le march de la scurit : 1. Lagresseur nattaque plus pour des motifs de prestige personnel, mais est m par lappt du gain ou agit dans un dessein de vol ; et 2. les logiciels, et plus spcialement les applications Web, sont dsormais la cible commune des piratages

MTHODOLOGIE DVALUATION
Autrefois, les entreprises pouvaient compter sur leurs dispositifs de dfense priphrique pour assurer leur scurit. Malheureusement, les pare-feux des rseaux et les outils danalyse de vulnrabilit des rseaux noffrent aucune protection contre les offensives au niveau des applications. Les applications Web sont conues de telle faon quelles peuvent permettre des utilisateurs inconnus dinteragir avec les donnes et les systmes dune entreprise. Ce type dinteractions parvient franchir les mcanismes de dfense rseau tels que les pare-feux et les systmes de dtection des intrusions. Gartner estime que 75 % des offensives ciblent dsormais les applications. Les enqutes menes par Watchfire indiquent que 90 % des sites Web sont vulnrables ce type dattaques. De toute vidence, la scurit des applications Web ne peut plus tre ignore.

NORMES ET RGLEMENTATIONS MERGENTES


Face laggravation des violations de scurit lies aux applications Web, laugmentation de leur nombre et des difficults quelles posent, la rigueur des rglementations et standards industriels sest renforce. De nouvelles normes telles que la norme de scurit des donnes PCI (Payment Card Industry) intgrent dsormais la scurit des applications Web. Ces rglementations officielles stipulent que les entreprises doivent assurer le dveloppement et la maintenance de systmes et dapplications scuriss, et ciblent tout particulirement les vulnrabilits des applications Web. De telles rglementations surgissent aujourdhui et font lobjet de dfinitions car les protections rseau traditionnelles sont insuffisantes contre ce type doffensives.

MISE EN PLACE DUN CONTRLE DE GESTION DES RISQUES LIS AUX APPLICATIONS WEB
Plusieurs grandes initiatives doivent tre mises en place et dveloppes dans trois domaines : les personnes, les processus et la technologie. Les personnes : Il est impratif que les responsables du dveloppement et du dploiement des applications Web matrisent les fondamentaux des principes de la conception scurise et des menaces contre la scurit. La technologie : Lutilisation doutils automatiss pour la scurit des applications Web apporte des avantages dchelle et de cot. Un outil automatis permet danalyser les vulnrabilits de la scurit des applications Web de faon cohrente, fiable et volutive dans des environnements diversifis de grande envergure. En outre, un outil automatis permet de communiquer des recommandations cohrentes et pertinentes en adquation avec la stratgie de lentreprise et les rglementations officielles.
Copyright 2007. IBM Corporation. Tous droits rservs 1

SCURIT DES APPLICATIONS WEB - LE GUIDE ESSENTIEL

Les processus : Lintgration des tests de scurit des applications Web au cycle de vie du dveloppement logiciel est une initiative fondamentale pour mettre en uvre une gestion des risques saine. Si cette dmarche doit certes tre confie une quipe dvaluation comptente et spcialise dans la scurit lors de la phase finale, elle doit aussi tre incorpore un stade prcoce du dveloppement dapplications afin de cerner les problmes de scurit ds leur apparition et de raliser des conomies en termes de temps et de cots. En labsence dune valuation et dune visibilit satisfaisante de ces initiatives, il est impossible de dterminer si des protections adaptes ont t effectivement implmentes pour attnuer les risques. Ces mtriques doivent inclure les principaux facteurs tels que les menaces, les vulnrabilits, les actions correctives et le degr de gravit, tout en dfinissant des lignes directives et un historique sur une priode donne.

LES SOLUTIONS DIBM RATIONAL (WATCHFIRE)


A travers son acquisition de la compagnie Watchfire, IBM est un leader reconnu sur le march des logiciels dvaluation de la vulnrabilit des applications Web. Son offre comprend des progiciels de scurit qui vont des outils dassistance aux auditeurs spcialiss en scurit une plate-forme destine aux trs grandes entreprises. Ces produits fournissent des informations prcises sur les vulnrabilits des applications Web. Le tableau suivant dcrit en dtail quelques-uns des enjeux concerns :

IBM, travers de sa gamme de produits IBM Rational AppScan propose une solution de reporting destine aux dirigeants, aux manageurs et aux dveloppeurs, dfinie spcialement pour une fonction et une personne en particulier. En effet, alors quun auditeur de scurit sintressera surtout aux problmes de scurit dun secteur dactivit donn, le responsable de la conformit souhaitera plutt recevoir un reporting concernant les critres de conformit quil est charg de grer. La plate-forme de livraison de logiciel IBM pour les entreprises comporte galement des fonctions stratgiques telles que la gestion des problmes, des accs bass sur les rles, la personnalisation et de puissantes API dintgration. Outre ses solutions de reconnaissance, dvaluation et de reporting des applications Web dune entreprise, IBM facilite aussi la formation interne des collaborateurs par le biais de prestations de conseil dtailles et des recommandations de corrections personnalises. Grce sa branche de services aux clients, IBM assure galement des formations la scurit et aux produits qui ciblent spcifiquement le segment vertical du secteur dactivit concern.

SYNTHSE
Face des applications Web dont la taille, la complexit et lomniprsence ne cessent de crotre, les mcanismes de dfense et les protections correspondantes doivent eux aussi voluer. Les entreprises doivent implmenter des rgles et des contrles capables de prendre en charge des environnements distribus tout entiers ; elles doivent aussi faire face la complexit des technologies modernes et se synchroniser avec le cycle de dveloppement logiciel interne de lentreprise. En outre, elles doivent tre prtes fournir leur Direction, aux auditeurs officiels et aux clients des mtriques et des informations sur la planification et la stratgie de scurit adoptes. Ngliger de telles mesures est une prise de risque dangereuse sur le march actuel.
Copyright 2007. IBM Corporation. Tous droits rservs 2

SCURIT DES APPLICATIONS WEB - LE GUIDE ESSENTIEL

Copyright dIBM
Copyright IBM Corporation 2007 Compagnie IBM France Tour Descartes - La Dfense 5 2, avenue Gambetta 92066 Paris La Dfense Cedex Tous droits rservs IBM ,le logo IBM ,le logo On Demand Business , Rational, Rational AppScan, Watchfire sont des marques d' International Business Machines Corporation aux Etats-Unis et/ou dans certains autres pays. Microsoft et Windows sont des marques de Microsoft Corporation aux Etats-Unis et/ou dans certains autres pays. Les autres noms de socit, de produit et de service peuvent appartenir des tiers. Les informations contenues dans cette documentation sont fournies titre informatif uniquement. Malgr les efforts effectus pour vrifier l'exhaustivit et l'exactitude des informations contenues dans cette documentation, celle-ci est fournie en l'tat sans garantie d'aucune sorte, expresse ou implicite. En outre, ces informations sont bases sur la stratgie et les plans de produits actuels d'IBM, susceptibles d'tre modifis par IBM sans pravis. IBM ne peut tre tenue pour responsable de tout dommage dcoulant de l'utilisation de, ou li , cette documentation ou toute autre documentation. Aucun lment de cette documentation n'a pour but, ni ne doit avoir pour effet, de crer une garantie ou une reprsentation d'IBM (ou de ses fournisseurs ou de ses concdants de licence), ou de modifier les conditions de l'accord de licence applicable rgissant l'utilisation des logiciels IBM.

Copyright 2007. IBM Corporation. Tous droits rservs