Bonjour à tous et Bienvenue dans notre présentation sur la sécurité applicative.

Dans
notre monde numérique, la sécurité des applications est primordiale. Découvrons
ensemble ce qu'est la sécurité applicative, ses différentes failles, et comment y
remédier.
Le plan de notre présentation est le suivant (voir ppt) :

Introduction

La sécurité applicative consiste à protéger les applications contre les cyberattaques,

les fraudes, les erreurs de manipulation et d'autres menaces.
Les applications stockent et manipulent des informations sensibles. Les failles de
sécurité peuvent donc causer des pertes financières, une perte de confiance des
clients et même des conséquences juridiques. Voyons quelles sont ces failles.

Différentes failles de sécurité applicative

Il existe un rapport, régulièrement mis à jour qui expose les préoccupations en

matière de sécurité des applications web, en se concentrant sur les 10 risques les plus
critiques. On l’appelle le Top 10 de l’OWASP. L'OWASP considère le Top 10 comme un
« document de sensibilisation » et recommande à toutes les entreprises d'intégrer le
rapport dans leurs processus afin de minimiser et/ou d'atténuer les risques de
sécurité. Dans ce top 10, nous avons
 Les injections SQL, elles se produisent lorsque des données non fiables sont
envoyées à un interpréteur de code par le biais du contenu d'un formulaire ou
d'une autre soumission de données à une application web. Par exemple, un
attaquant pourrait saisir du code de base de données SQL dans un formulaire
qui attend un nom d'utilisateur en texte clair. Si les données de ce formulaire
ne sont pas correctement sécurisées, le code SQL sera exécuté.
 L’authentification déficiente (ou les login vulnérables) qui peut donner aux
pirates l'accès à des comptes d'utilisateurs et même la possibilité de
compromettre un système entier en utilisant un compte administrateur. Par
exemple, un attaquant peut prendre une liste contenant des milliers de
combinaisons connues de noms d'utilisateur/mots de passe obtenues lors
d'une violation de données et utiliser un script pour essayer toutes ces
combinaisons sur un système de connexion afin de voir si certaines
fonctionnent.
  Exposition de données sensibles : Si les applications web ne protègent pas les
données sensibles telles que les informations financières et les mots de passe,
les attaquants peuvent accéder à ces données et les vendre ou les utiliser à des
fins malveillantes.

Exemples de cyberattaques célèbres

Dans cette partie nous allons parler des exemples de failles célèbres :
 Le piratage de l’agence Equifax : En 2017, une faille de sécurité a exposé les
données personnelles de plus de 145 millions de personnes. Il s’agissait d’une
faille que l’entreprise avait remarquée mais n’avait pas su corriger qui avait été
utilisée quelques mois après par les pirates
 Heartbleed qui est une vulnérabilité qui a été découverte en avril 2014 ; elle
permettait aux attaquants d'avoir un accès sans précédent à des informations
sensibles, et elle était présente sur 20% des serveurs web, y compris ceux qui
gèrent des sites majeurs comme Yahoo. Le souci était une erreur dans une
seule ligne de code des applications.
 L’attaque de Sony Pictures qui a conduit à la fuite de plusieurs films non encore
sortis, d'informations personnelles de célébrités et de courriels liés à des
questions d'entreprise.

Importance de tester la sécurité applicative

Au vu des parties précédentes de cette présentation nous pouvons déduire que le test
de sécurité applicative est très important car cela permet d’assurer une protection de
données de bout en bout, rendant les violations de données moins probables et
moins nuisibles en cas de réussite en identifiant rapidement les vulnérabilités avant
les attaquants. Il peut aussi aider à renforcer la confiance des utilisateurs et leur
fidélité en leur montrant que leur vie privée est une priorité.

Bonnes pratiques de sécurité applicative

Pour atténuer les vulnérabilités d’une application il est conseillé d’utiliser ces
méthodes :
 Validation des données entrées : Traitement régulier des données en entrées
pour prévenir les injections SQL et autres failles.
 Activation de HTTPS qui garantit la confidentialité de la communication
  Authentification forte qui permet d’éviter la compromission des comptes de
façon significative.
 Revue de code sûre car des revues de code fréquentes peuvent aider à
identifier les failles existantes et les corriger.

Modèles de développement sécurisé

On a le modèle MS SDL ou modèle de cycle de vie de sécurité de Microsoft qui est un

modèle détaillé pour la gestion de la sécurité et l’OWASP SAMM qui est un cadre
permettant aux entreprises de structurer leurs programmes d'assurance qualité.
L’image ci-contre illustre le MS SDL. Donc on fait un cycle constitué respectivement
des éléments suivants : analyse des exigences, design, implémentation, test,
évolution.

Les Outils de sécurité applicative

Pour optimiser la sécurité de nos applications nous disposons des outils suivants :
 Les outils de contrôle de code source (comme Git, Mercurial) qui peuvent aider
à contrôler les versions et à identifier les modifications malveillantes
 Les outils de test d’intrusion (Metasploit, Nmap et Nessus) qui permettent de
détecter les vulnérabilités en simulant des attaques pour tester la sécurité
applicative.
 Les analyseurs (audit) de code. Eux ils permettent d’identifier les failles de
sécurité dans le code source avant la mise en production

Conclusion

A la fin de notre étude, nous retenons que la sécurité applicative est un sujet crucial
en cybersécurité, étant donné l'augmentation des piratages et des attaques en ligne.
En utilisant les bonnes pratiques, les modèles de développement sécurisé et les outils
appropriés, nous pouvons renforcer la sécurité de nos applications et prévenir les
risques de cyberattaques. La sécurité applicative doit être une priorité constante tout
au long du cycle de vie des applications pour assurer la protection des données et
maintenir la confiance des utilisateurs.