Introduction à la sécurité applicative
Introduction
La sécurité applicative, parfois appelée sécurité des applications, ou plus simplement secapp, fait référence à l’ensemble des mesures, des outils des processus permettant d’assurer la protection des applications contre un ensemble de menaces auxquelles elles sont exposées. Ces menaces peuvent porter atteinte à la confidentialité ou à l’intégrité des données qu’elles manipulent, ainsi qu’à sa disponibilité.
La sécurité informatique, au sens large du terme, englobe plusieurs niveaux opérationnels, dont trois niveaux de sécurité souvent représentés et revêtant un caractère technique qui sont les suivants :
-
Sécurité système : la sécurité système concerne la protection du système d’exploitation et de ses composants. L’installation d’un antivirus sur son ordinateur est une étape essentielle effectuée par le grand public, y compris les moins connaisseurs. D’autres protections, telles que les systèmes de détection d’intrusion basés sur l’hôte (Host-Based Intrusion System/Host Intrusion Prevention System, HIDS/HIPS) ou sur des points terminaux (Endpoint Detection and Response, EDR) sont conçus...
La nécessité de la sécurité applicative
1. Des applications web de plus en plus omniprésentes
Les applications web sont devenues de plus en plus omniprésentes au fil des années. Elles permettent maintenant de payer ses impôts, de suivre sa consommation d’eau ou d’électricité, de discuter avec ses proches, de faire des rencontres, d’effectuer toutes sortes d’achats ou encore de partager des photos et des vidéos avec le monde entier.
Les applications mobiles, utilisant pour beaucoup des fonctionnalités du Web, telles que des interfaces de programmation d’application (Application Programming Interface, API), ont également contribué à l’explosion des usages du Web.
Certaines utilisations, qui étaient auparavant réservées à la nécessité de devoir installer un logiciel sur le poste utilisateur, se retrouvent maintenant déportées et disponibles sur le Web. Par exemple, la suite d’outils inclus dans les services Google permet de consulter son courrier électronique ainsi que d’accéder à des programmes de traitement de texte, de tableur ou encore de création de présentations, depuis n’importe quel ordinateur et depuis n’importe où dans le monde.
La multiplication de ces usages est bien pratique, mais augmente l’interconnexion entre les différents services et offre à des personnes malintentionnées un accès plus direct aux données des entreprises et de leurs clients.
2. Des applications de plus en plus complexes
La complexité des applications web ne fait que croître. À la fin des années 1990, les sites web, qui n’étaient composés seulement de pages proposant du contenu statique, commencent...
Les acteurs autour de la sécurité web
Un certain nombre de notions, d’outils ou de projets développés par les acteurs du Web seront explicitement détaillés dans les chapitres suivants, ce qui suit n’est qu’une brève présentation.
1. L’ANSSI
L’ANSSI, ou Agence nationale de la sécurité des systèmes d’information, est un service français rattaché au secrétaire général de la défense et de la sécurité nationale. Créée en 2009, elle a pour mission la défense des systèmes d’information de l’État, des entreprises stratégiques, et de contribuer à la sécurité numérique de la France dans son ensemble. Elle est d’autorité nationale en matière de cybersécurité et de cyberdéfense et se repose sur quatre grands axes :
-
Elle assure la défense des systèmes d’information critiques de la nation et des victimes de cyberattaques, que cela soit en intervenant directement ou en organisant au niveau national l’aide aux entités touchées.
-
Elle s’efforce de posséder une connaissance forte de l’état de l’art en sécurité des technologies et des systèmes d’information, ainsi qu’une compréhension approfondie des menaces et des risques dans le cyberespace.
-
L’agence partage également des conseils, des outils, des guides et des solutions aux différents acteurs de la cybersécurité.
-
Plus largement, elle accompagne le développement de la cybersécurité en contribuant à l’élaboration d’une stratégie nationale et européenne.
Bien que l’ANSSI se concentre sur la cybersécurité au sens général du terme, certaines de leurs ressources concernent spécifiquement la sécurité des applications web. Il est possible de citer :
-
le guide Recommandations pour la mise en œuvre d’un site web : maîtriser les standards de sécurité côté navigateur (https://www.ssi.gouv.fr/entreprise/guide/recommandations-pour-la-securisation-des-sites-web/) ;
-
la note technique Recommandations pour la sécurisation...