Cyberattaque, comprendre pour sécuriser vos applications métiers

Stratégie
Écrit par Forlabs

Pourquoi est-il urgent de renforcer la sécurité des applications web ?

L’ennemi était déjà à la porte de nos ordinateurs, de nos téléphones mais, avec l’entrée en scène de nouvelles habitudes de travail, la menace a soudainement grandi. Les attaques des cybercriminels se sont démultipliées et diversifiées depuis fin 2019. Elles visent les entreprises comme les particuliers et sont devenues le fait de véritables organisations de hackers. Les grands groupes, les organismes d’état, les administrations sont des cibles très médiatisées, mais les chiffres parlent d’eux-mêmes : toutes les structures entrepreneuriales sont en danger. Il est devenu urgent de renforcer la sécurité de vos applications. Pourquoi et comment faire ? On vous explique !

La sécurité des applications : définition

La sécurité des applications comme des logiciels requiert le développement, la mise en test et l’ajout de procédés de protection afin d’éviter les failles susceptibles d’être exploitées par des menaces extérieures. Ces dernières, évoluant au même rythme galopant que la technologie, nous oblige à rester vigilant et d’adapter constamment les modalités de sécurisation.

Il a toujours été essentiel de veiller à une sécurisation optimale du matériel et des outils informatiques. Les logiciels anti-virus sont apparus dès 1988 et n’ont cessé de se développer parallèlement aux menaces. La dématérialisation des process de travail, les nouvelles habitudes organisationnelles opérées avec l’avènement du télétravail, impliquent une multiplication des menaces. Celles-ci se concentrent sur les nouveaux matériels (smartphones, tablettes) nomades et l’usage d’applications sur réseaux connectés à travers le Cloud. Tandis que les anciens process de travail n’impliquaient que le réseau interne d’une entreprise et ses ordinateurs, le recours au Cloud induit une marge de manœuvre plus grande pour les hackers qui peuvent s’attaquer à ce réseau public de partage.

La cybercriminalité en quelques chiffres

En 2021, la cyberattaque fut omniprésente : institutions gouvernementales, collectivités, écoles, banques, universités, cabinets d’avocats, rédactions de journaux, hôpitaux, laboratoires, etc. Un trou de souris suffit aux cybercriminels pour introduire un virus, un cheval de Troie, un ransomware et mettre en grave difficulté une entreprise. Parmi les plus médiatisés, citons : 

  • l’affaire Pegasus qui touche aux secrets industriels autant qu’à l’espionnage entre États ;

  • Solarwinds visé par une « supply chain attack » ;

  • le hameçonnage PerSwaysion passé par le partage de fichiers Microsoft afin de voler des identifiants.

Parmi les secteurs les plus à risques, les spécialistes identifient :

  • la santé (employés et patients) ;

  • l’enseignement (avec le développement des cours en ligne) ;

  • le secteur financier au sens large ;

  • la distribution.

UNE ANNÉE 2021 MARQUÉE PAR LA PROFESSIONNALISATION DES ACTEURS MALVEILLANTS

Dans son “Panorama de la menace informatique”, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) revient sur les grandes tendances ayant marqué le paysage cyber en 2021 et souligne des risques d’évolution à court terme.

"Alors que la généralisation des usages numériques – souvent mal maitrisés – continue de représenter un défi pour les entreprises et les administrations, l’agence observe une amélioration constante des capacités des acteurs malveillants.  Ainsi, le nombre d’intrusions  avérées dans des systèmes d’information signalées à l’ANSSI a augmenté de 37% entre 2020 et 2021 (786 en 2020 contre 1082 en 2021, soit désormais près de 3 intrusions avérées par jour)."

Les différents types d’attaque face auxquels il est urgent de renforcer la sécurité des applications web

Des cyberattaques nombreuses aux finalités diverses : gains financiers, espionnage, déstabilisation, sabotage. Parmi les attaques les plus répandues, on dénombre les suivantes.

Agression par logiciels malveillants

Ils sont nombreux : virus, macro-virus, infecteurs de fichiers ou de système, virus polymorphes, virus furtifs, chevaux de Troie, bombe logique, vers, rançongiciels (ransomwares), logiciels espions. 

Le déni de service (DoS)

Aussi nommée déni de service distribué, cette attaque n’implique pas un aspect immédiatement lucratif. Un logiciel malveillant infecte plusieurs machines qui déploient ensuite l’attaque malgré elles dans tous les outils liés au système. L’entreprise est alors empêchée de répondre aux demandes de service. Cette déstabilisation fonctionnelle profite à la concurrence et satisfait les hackers « anti-système ».

Le MitM ou « Homme du milieu »

Un pirate s’invite entre le client et le serveur. Il peut détourner la session, usurper l’adresse IP et se faire passer pour l’un des participants.

Phishing ou hameçonnage

Cette cyberattaque touche autant les professionnels que les particuliers. Sous la forme d’e-mails semblant émis par une source fiable avec le logo d’une banque ou d’une institution, elle a pour but d’inciter la victime à communiquer des informations personnelles. Elle peut même être particulièrement insidieuse lorsque l’émetteur du mail frauduleux paraît provenir d’un interlocuteur connu de la victime par usurpation d’adresse électronique.

Drive by Download

Les cibles privilégiées sont les sites Internet peu sécurisés, qui ne sont pas encore passés en HTTPS. Les hackers y téléchargent un logiciel malveillant qui peut ensuite infecter les visiteurs du site : le seul fait d’être sur le site suffi !

Vol de mot de passe

Le mot de passe reste le moyen d’identification le plus répandu. Il est donc particulièrement visé. L’attaquant repère de mauvaises habitudes de connexion et en use à son profit : sécurisation insuffisante des identifiants, notamment l’usage de mots de passe trop simples, standardisés et systématiquement identiques d’un support à un autre. 

Assaut par SQL

Fait pour malmener les sites web usant de bases de données, le SQL malveillant est une intrusion dans la base de données de commandes SQL permettant d’accéder aux données sensibles, de les modifier ou de les supprimer à loisir ! 

Attaque Cross-site scripting

Nommée aussi XSS, cette méthode consiste en l’insertion d’un logiciel malveillant via un outil du type Javascript. Une fois en action, il permet de détourner des sessions, d’enregistrer des frappes de touche et de faire des captures d’écran dans le but de voler des informations et d’accéder à distance à l’ordinateur de la victime.

Les protocoles de sécurisation des applications web en entreprise

Première règle : ne pas rester attentiste face à la menace. Le confort des outils collaboratifs, du Cloud et la mise en place précipitée du télétravail en masse expose les entreprises. Il convient d’être réactif et efficace. 

Identifier les failles :

  • un outil vieillissant ;

  • un retard sur le plan de la transformation digitale de l’entreprise ;

  • des mises à jour irrégulières ou inexistantes ;

  • une mise en place trop rapide de solutions de travail à distance ;

  • une méconnaissance des diverses facettes de la cybercriminalité ;

  • une ingénierie sociale fragile face aux attaques psychologiques des hackers.

Ne restez pas dans le scepticisme : une cyberattaque peut toucher tout le monde et toutes les sociétés. Les motivations des cybercriminels sont multiples, leurs cibles aussi. L’idéal est de s’informer et de prendre conseil auprès de spécialistes de la sécurisation des applications web. Cela requiert un investissement avec un budget provisionné et disponible immédiatement en cas d’attaque. On peut, en effet, recourir à de nombreuses solutions de sécurisation des applications métier, il n’en demeure pas moins que les techniques évoluent rapidement du côté des attaquants comme des défenseurs. Le risque zéro n’existe pas, mais la prévention peut être permanente.

La sécurisation des données

Si le risque zéro n’existe pas, la sécurisation des données est une réponse adaptée et évolutive face aux menaces de la cybercriminalité. Plusieurs axes de travail sont à considérer. 

Authentification

Veiller à lier l’identité de l’utilisateur à une donnée précise du système comme « administration » ou un ordinateur est important. Par ailleurs, il est préférable d’user d’un nom utilisateur de connexion qui soit nominatif et non une adresse mail trop aisée à pirater. On y associe un mot de passe complexe ou un certificat d’authentification. Il est aussi possible de créer un processus multimode qui combine ces sécurités. Les professionnels travaillent en outre sur d’autres outils tels que l’ajout d’un code envoyé sur mobile, une identification par empreinte digitale, vocale ou reconnaissance faciale.

Dans tous les cas, il faut veiller à :

  • s’assurer que l’utilisateur est bien celui qu’il prétend être ;

  • lutter contre la capture et le remploi des mots de passe comme à l’espionnage et captures d’informations ;

  • sensibiliser les usagers à ne pas communiquer leur mot de passe. 

Contrôle des accès

L’accès aux fonctionnalités doit être réparti entre les différents collaborateurs selon leurs missions au sein de l’entreprise : administrateur, éditeur, utilisateur avec plusieurs strates d’accès aux ressources. Cela vaut pour le réseau comme pour les ressources partagées via le Cloud.

Protéger l’intégrité des données des applications

La sécurisation des applications web passe par celle des données et la lutte contre tout risque d’altération volontaire ou involontaire grâce au stockage, la détection d’intrusion, le chiffrement garantissant la confidentialité. 

Process techniques de sécurisation des données

La journalisation et les tests de sécurité insérés dans le code des applications permettent de réduire la vulnérabilité. Si nécessaire, il faut envisager un refactoring du code ou une refonte avec prise en compte des risques de cyberattaque dans le développement du nouvel outil. 

Le VPN pour les applications mobiles 

La connectivité web est plus vulnérable qu’un usage en réseau privé. Le recours au VPN ou réseau privé virtuel est donc préconisé, couplé à une validation de la qualité de sécurisation par les équipes techniques.

Les applications web 

Accessibles via Internet, leur chemin est : serveur distant > Internet > utilisateur. Pour protéger le réseau de l’entreprise, il faut user d’un pare-feu d’application web qui inspecte et peut bloquer toute donnée jugée dangereuse. 

Vérification de la sécurité des applications web

En matière de sécurisation d’une application, on intervient sur le codage pour une optimisation sécurité centrée sur sa réactivité face aux actions inattendues tirant profit d’une faille. Le programmeur insère, dans le code, une commande de contrôle dédiée à ce type d’attaque associée à des tests aléatoires ou fuzzing afin d’établir le bon fonctionnement des réponses aux comportements inattendus.

D’autres actions sont ajoutées : mise à jour, vérification que seuls les utilisateurs autorisés ont accès à l’application, simulation de cyberattaque basée sur l’ingénierie sociale et sensibilisation des bonnes pratiques de sécurisation des données auprès des collaborateurs.

La sécurisation des applications web est plus que jamais d’actualité. Les experts en cybercriminalité prévoient une recrudescence des menaces face auxquelles nous devons miser sur la prévention et la réactivité. Rester informé, investir dans la cybersécurité de vos solutions métiers, être accompagné de professionnels vous protège des pires perspectives.

Forlabs
Précédent

Le Design Thinking au service de la refonte applicative
Suivant

Défiez votre dette technique et offrez un nouveau départ à vos applications métiers