Dans cet article, nous répondons à certaines des questions les plus courantes que nous recevons sur la sécurité informatique. Qu'il s'agisse de comprendre l'importance d'intégrer des mesures de sécurité lors de la gestion des exigences ou de se tenir au courant des dernières tendances en matière de sécurité. Nous explorerons également le rôle critique que joue la sécurité dans le processus de développement et nous donnerons un aperçu de la sécurisation des anciens systèmes et de la mise en œuvre de contrôles internes continus.
Que pouvons nous faire pendant la gestion des exigences pour contribuer à la sécurisation des applications ?
Le top 10 de l'OWASP est très intéressant à suivre. Il s'agit d'une liste des vulnérabilités les plus courantes dans les applications web. L'OWASP (Open Web Application Security) est une organisation qui s'occupe de la sécurité des applications logicielles.
Il y a quelques années, l'OWASP ASVS (Application Security Verification Standard) a été publié. Il s'agit d'un excellent recueil à consulter pour identifier les problèmes de sécurité dans le cadre de la gestion des exigences. Il peut être utilisé comme une déclaration d'exigences pour les applications. L'ASVS est une sorte de liste de contrôle à trois niveaux différents. Commencez par le niveau 1 et comparez avec ce que vous avez en place et ce qui doit être appliqué, puis passez au niveau suivant. Toutes les applications doivent passer le premier niveau. Si vous souhaitez ajouter la sécurité à vos exigences, je commencerais par cela. De nombreuses entreprises commettent l'erreur d'appliquer trop de choses à la fois que l'organisation ne peut finalement pas gérer.
Comment rester à jour en matière de sécurité informatique ?
Nous suivons de nombreux spécialistes de la sécurité sur Twitter, où nous recevons de bonnes mises à jour si quelque chose s'est produit ou si un nouvel outil a été publié. Nous suivons également des blogs sur la sécurité, par exemple Daniel Miessler, Podcast, darknet diaries. Par ailleurs, nous recherchons des outils, des extraits de code ou des scripts que les gens ont publiés ou sont en train de publier, et nous cherchons à savoir ce qu'ils essaient de faire.
En ce qui concerne les vulnérabilités, nous ne nous asseyons pas tous les jours pour vérifier si une nouvelle vulnérabilité a été publiée pour un produit spécifique. C'est lorsque nous avons des missions qui comprennent une application avec une certaine forme de pile d'application que nous examinons les vulnérabilités existantes. Sinon, Linkedin est une bonne source pour se tenir au courant des nouvelles vulnérabilités publiées.
Avant Covid, de grands événements liés à la sécurité étaient organisés chaque été à Vegas : Black Hat, Def Con et BSides. C'est l'endroit idéal pour nouer des contacts et assister à des sessions intéressantes.
Qu'est-ce que la sécurité dans le processus de développement ?
Du point de vue des tests d'intrusion et sur la base de nos missions, nous avons remarqué que la phase de sécurité entre dans les projets de développement extrêmement tard. Souvent, aussi tard que lorsque le produit est sur le point d'être mis en production, parce que l'entreprise se rend compte qu'elle doit effectuer un test de sécurité. Et dans le pire des cas, nous trouvons de nombreuses vulnérabilités qui doivent être corrigées. Ce qui entraîne un retard dans le projet et une augmentation des coûts.
Nous aimerions voir les entreprises travailler sur la sécurité plus tôt dans la phase de développement. En matière de sécurité, vous parlez généralement de Shift-Left Testing, c'est-à-dire que nous n'appliquons pas la sécurité comme une fonction supplémentaire à la fin, mais que nous l'incluons dès le début. La sécurité doit être incluse dans les exigences.
Comment gérer la sécurité au niveau de l'infrastructure et de l'application lorsque les systèmes sont plus
anciens ?
En construisant la sécurité autour du système, par exemple en compensant les contrôles tout autour avec des pare-feu de niveau sept, une inspection approfondie des paquets et en examinant la couche d'application. Réfléchissez également à l'opportunité de vous doter d'un système de détection d'intrusion (IDS) et/ou d'un système de prévention d'intrusion (IPS). Ce sont là quelques options pour sécuriser vos systèmes un peu plus anciens.
Existent-ils des bonnes pratiques pour mettre en place un processus solide de contrôles internes continus ?
Travaillez avec les 20 contrôles CIS. Quels sont les contrôles en place dans l'entreprise aujourd'hui ?
Lorsque nous parlons de contrôles, il s'agit de tout :
- Disposez vous d'un système antivirus ?
- Gardez vous une trace de vos ressources dans l'entreprise ?
- Avez-vous une vue d'ensemble de vos applications dans l'entreprise ?
- Effectuez vous régulièrement des tests d'intrusion ?
- Avez-vous des connaissances sur les privilèges administratifs ?
- Utilisez vous un système de courrier électronique sécurisé ?
C'est assez vaste, mais c'est une très bonne chose à suivre si vous voulez commencer à avoir un contrôle, une structure et un suivi à examiner. Comme pour toute autre chose, ne vous attaquez pas à tout en même temps, commencez modestement et prenez votre temps. La sécurité ne se fait pas en un mois, c'est un long processus. Les grandes entreprises travaillent et luttent continuellement avec les contrôles CIS, c'est une chose importante à mettre en œuvre si vous voulez vous conformer à l'ensemble des 20.
Comment développer des applications sécurisées dans l'informatique dématérialisée ?
Si l'on sépare l'infrastructure et l'application et que l'on commence par l'application, on ne voit pas de grande différence dans l'approche et dans ce qu'elle devrait pouvoir gérer. L'infrastructure, en revanche, comme la gestion des clés et des secrets, est différente de celle qui est mise en place sur site dans un centre de données. Vous avez beaucoup de sécurité dans le nuage directement, des choses que vous n'avez peut-être pas dans votre propre centre de données, comme la traçabilité des accès. Mais pour qu'il fonctionne comme prévu, il est nécessaire de le configurer et de le configurer correctement. Le nuage n'est pas sécurisé par défaut, et c'est l'utilisateur qui doit configurer et activer ces fonctionnalités avant qu'il ne soit en ligne sur l'internet.
Existe-t-il une bonne liste de contrôle que vous pourriez recommander pour mettre en évidence les problèmes de sécurité dans la gestion des exigences ?
Oui, OWASP ASVS
Existe-t-il un moyen de vérifier que le produit est sûr ?
Oui, la méthodologie Shift Left. La sécurité doit être prise en compte dès le début du développement et le produit doit être testé très tôt. Les tests d'intrusion l'analyse SAST (analyse statique) et l'analyse dynamique sous la forme d'une analyse des applications web sont d'autres moyens de vérifier que vous disposez d'un produit sûr. Ces méthodes vous permettent de suivre votre application sur le long terme.
Vous pouvez également utiliser la modélisation de la menace. Prenez votre application, vos développeurs, mettez vous devant un tableau blanc et dessinez l'application. Vous pouvez la décomposer en composants plus petits ou la dessiner de manière plus basique. Examinez les flux de données, comment et où ils entrent et sortent, quelles sont les fonctions disponibles et commencez à dresser la liste des différents modes d'attaque possibles et des vulnérabilités éventuelles. Essayez ensuite de construire et de mettre en œuvre la sécurité.
Qu'est ce que le Privacy by Design ?
Le terme "privacy by design" est un terme plus élégant qui signifie que vous devriez penser à la sécurité dès le début, en ayant déjà des exigences en matière de sécurité.
La modélisation des menaces, telle que décrite ci-dessus, au début du développement est un très bon début. Le RGPD s'applique aux données personnelles et le PCI DSS est un document juridique bien développé sur la manière de traiter les données des cartes de crédit. Lorsqu'il s'agit d'informations confidentielles, vous pouvez vérifier quels sont les cadres juridiques à prendre en compte. Ensuite, il est important d'intégrer les processus de sécurité, tels que les exigences de sécurité, la modélisation des menaces, l'examen du code, les outils DAST, les tests d'intrusion et les tests d'infrastructure en termes d'outils d'automatisation.
Un test automatisé pourrait-il être une option dans la mesure où les compétences humaines sont rares ? Pouvez-vous nous recommander des tests ?
Notre recommandation est d'automatiser davantage là où c'est possible. Nous pensons que vous pouvez effectuer toutes les vérifications qui peuvent être automatisées, par exemple, dans le cadre de l'ASVS ou d'un processus CICD. Utilisez des outils automatisés, des outils DAST, des outils d'examen du code ou autres.
Notre expertise est nécessaire pour les questions plus complexes et lorsque des tests plus complexes doivent être effectués. Souvent, lorsque nous sommes sur le point d'effectuer des tests de pénétration, les entreprises n'ont pas effectué d'examen du code ni exécuté d'outils DAST. Cela signifie que nous devons identifier tous les types de vulnérabilités, ce qui n'est pas une mince affaire. Les meilleurs cas sont ceux où nous recevons un rapport d'un outil d'analyse des vulnérabilités et où nous examinons l'infrastructure et où il s'avère que la revue du code et les outils DAST ont été exécutés. Notre travail peut se concentrer sur toutes les autres choses que les outils ne peuvent pas faire lorsqu'il s'agit de logique pure. Comme la gestion de la logique dans une application, la logique commerciale pure, etc. Les outils automatisés ne sont pas particulièrement efficaces pour identifier ces éléments, car ils n'ont aucune idée de la manière dont l'application elle-même devrait fonctionner. Automatisons autant que possible et utilisons notre expertise pour les choses que les outils ne peuvent pas gérer.
Les tests que nous recommandons :
L'OWASP ASVS, niveau 1, est rédigé de manière à ce que vous puissiez l'automatiser complètement. L'OWASP Testing Guide est également un très bon guide sur les types de problèmes et la manière d'identifier les vulnérabilités.
En matière d'outils, tout dépend de l'entreprise. Aucun outil ne convient à tout le monde.
Merci à l'équipe pour ces réponses et conseils
Jon Jezierski
Jon est un spécialiste passionné de la sécurité informatique qui possède plus de 14 ans d'expérience dans un large éventail de disciplines. Au fil des années, il a travaillé dans la plupart des secteurs et a réalisé plus de 700 analyses techniques
Patrik Jezierski
Patrik travaille dans le domaine de la sécurité informatique depuis 2010. Au cours de ces années, il a principalement travaillé en tant que testeur de pénétration, mais lors de ses missions à long terme, il a occupé plusieurs rôles différents au sein de l'IT, ce qui lui a permis d'acquérir de vastes connaissances dans le secteur.
Mattias Döj
Depuis 2016, Mattias a travaillé avec un grand nombre de systèmes complexes. D'abord en tant que développeur et automatiseur de tests, mais la plupart du temps, il a travaillé en tant que consultant en sécurité informatique dans diverses entreprises mondiales.
Replay Webinar
Focus : sécurité des applications
La plupart d’entre nous comprennent que la sécurité est importante, mais ne savent pas vraiment comment et par où commencer. Dans ce webinaire, nous parlerons de la sécurité des applications en mettant l’accent sur l’intégration de la sécurité dans le processus de développement, les attaques courantes,…
