La sécurité applicative est au centre des nouvelles menaces et des intrusions récentes : 75% des attaques ciblent directement les applications (source : Gartner). Souvent centrées sur la protection des infrastructures, les équipes sécurité sont souvent trop éloignées des problématiques applicatives.
Les initiatives de sécurisation se multiplient mais montrent rapidement leurs limites du fait de cette distance et des incompréhensions qui en découlent.
Quelle structure organisationnelle permettrait de répondre à ces besoins ? Quels seront ses enjeux et objectifs ? Comment la mettre en place ?
Des menaces clairement applicatives
Ces dernières années ont vu une recrudescence des attaques sur les applications, avec des impacts importants. C’est par exemple une injection SQL qui a eu raison des défenses de Sony et entraîné le vol des données de 100 millions de joueurs. Chez Citibank, ce sont 360 000 données clients qui ont été volées par une simple modification d’URL, entraînant une perte de 2,7 millions d’euros.
Le constat semble sans appel : les entreprises ont besoin de sécurité applicative. Elles ne sont cependant manifestement pas encore mures sur le sujet. À titre d’illustration, 100% des applications auditées par Solucom sur l’année 2011/12 présentent au moins une faille de sécurité : 82% sont vulnérables au cross-site scripting (XSS), 72% au cross-site request forgery (CSRF) et 31% à l’injection SQL. Ces attaques applicatives sont pourtant bien connues…
Des efforts encore peu concluants
Une majorité des grandes entreprises réalise déjà des actions liées à la sécurité applicative.
Depuis des années déjà, le RSSI tente de capter les projets applicatifs et définir leurs besoins de sécurité. Cependant, il se trouve constamment confronté à une multitude d’acteurs, chefs de projet ou développeurs sans cesse renouvelés. Par ailleurs, le manque d’expérience et la multiplicité des besoins et des environnements techniques obligent souvent à redéfinir les mécanismes de sécurité pour chaque projet. De ce fait, les coûts liés à la sécurité sont élevés et difficiles à garantir lors des cadrages de projets.
La complexité de mise en œuvre des solutions de sécurité s’avère difficilement compatible avec un time-to-market qui contraint les développeurs à la considérer en dernier lieu – s’il reste du temps.
Sur le chemin menant à la sécurisation complète du SI, la première moitié du parcours s’est faite lors des dix dernières années. Les RSSI ont créé des relais de sécurité opérationnelle et établi une relation de proximité et de confiance avec la Production. En outre, les connaissances sur la sécurité des infrastructures ont été capitalisées. Tous ces efforts et cette maîtrise du sujet ont permis d’être en mesure d’anticiper et de réagir rapidement aux différents problèmes de sécurité sur l’infrastructure.
Pour rééquilibrer la sécurité de l’information, pourquoi ne pas s’inspirer de ce modèle et créer un relai « sécurité applicative » ?
Structurer les actions de sécurité applicative autour de la SecApp
La SecApp est une cellule transverse regroupant différents spécialistes du domaine. Cette cellule, garante de la sécurité applicative, doit s’approprier et structurer toutes les activités de sécurité applicative aujourd’hui dispersées dans l’entreprise.
La SecApp doit s’interfacer avec toutes les entités (MOA, RSSI, Production…). Ses objectifs sont de les guider dans la sécurisation des applications à chaque étape du projet ainsi que dans le maintien et l’amélioration de la sécurité de l’application dans le temps. À plus long terme, la SecApp a aussi pour but de simplifier la sécurité applicative et de rendre autonomes les différents acteurs.
Ces nouveaux liens que partagera la SecApp avec les différents acteurs devront être étroits. Alors qu’elle travaillera main dans la main avec le RSSI pour les questions de politique de sécurité applicative et de réglementation spécifique, elle sensibilisera les équipes études et MOA pour capter l’ensemble des projets applicatifs. De la même manière, la cellule se rapprochera de la sécurité opérationnelle pour coordonner, voire piloter, les différents tests de vulnérabilité et mises en production des applications.
Sa constitution requiert de rassembler des profils diversifiés mais en premier lieu issus du monde applicatif. Actuellement en effet, la non familiarité des équipes avec le développement et la vie des projets constitue le principal obstacle rencontré par la sécurité applicative.
Le rattachement de cette SecApp différera selon le contexte et l’organisation interne de chaque entreprise. Idéalement, nous recommandons un positionnement au sein d’une structure d’architectes transverses pilotant les architectes applicatifs, les urbanistes et les architectes techniques, qui assurent la mise en œuvre des applications sur l’infrastructure.
Des fonctions différentes selon la maturité de la SecApp
Dans un premier temps, la SecApp réalise. Dans cette phase, la cellule doit intervenir en support des différents chefs de projet, dans le but de constater et comprendre les problématiques en jeu.
Ensuite, la SecApp capitalise. Forte de ses expériences, elle va commencer à formaliser et à mettre à profit ses acquis pour améliorer l’efficacité de la sécurité applicative. Le but sera de commencer à former les opérationnels et d’éviter d’avoir à redéfinir tous les aspects sécurité à chaque projet.
Enfin, la SecApp offre des services. Une fois ce degré de maturité atteint, elle devient capable d’utiliser intelligemment l’expertise et les bonnes pratiques capitalisées durant les étapes précédentes. La conception et le contrôle, jusqu’alors thèmes de capitalisation de savoir, sont désormais déclinés en catalogues de services.
L’enjeu de la SecApp est la simplification de la sécurisation d’une application dans le temps. Au fil de son évolution, elle apprendra à faire, puis savoir faire, et enfin savoir faire faire. En particulier, les équipes MOA et Études ne seront plus isolées, et entretiendront des liens forts avec le RSSI et la Production. De ce fait, les différentes équipes en jeu seront autonomes, et la sécurité applicative fera partie intégrante de la culture de l’entreprise.
Pour en savoir plus sur le sujet, consultez notre Focus sur la sécurité applicative.