Les 6 étapes de sécurisation d’une application web
Les questions et problématiques liées à la cyber sécurité n’ont jamais été aussi présentes chez les dirigeants d’entreprises, responsables informatiques, et autres DSI. En partant du postulat que l’environnement où vous hébergez votre application web est déjà sécurisé, cet article s’attachera à détailler quelques étapes nécessaires pour sécuriser votre application web.
Bien évidemment cet article ne se targue pas d’être le guide exhaustif et parfait d’une sécurisation à 100% de votre application web, mais nous tâcherons quand même de vous donner quelques pistes d’actions à mener et à prendre en considération.
Faites de la sécurité de votre application web une question centrale
La politique de sécurité de votre entreprise doit être forte et omniprésente. Tout comme vous le feriez pour les règles d’hygiène et de sécurité au sein de votre organisation, transposez cette mentalité à la sécurité de votre application qui doit répondre à des règle d’hygiène sécuritaire.
La faille principale la plus largement exploitée par les hackers est la faille humaine. Nombreuses sont les erreurs humaines effectuées au quotidien dans la manipulation des outils informatiques en ligne :
- Mot de passe unique utilisé plus d’une fois.
- Mot de passe faible.
- Mauvaise sécurisation des données : on a tous déjà vu une liste de mots de passe enregistrés dans le bloc note d’un ordinateur, d’un téléphone portable ou encore sur un document papier sur le bureau…
- Niveau d’accès aux mots de passe extrêmement facile.
Toutes ces portes sont des points d’entrée pour les personnes malveillantes.
2. Faites simple et contentez-vous de ce qui est utile
Tous les éléments qui composent votre système d’information, peu importe sa taille, sont-ils tous utiles ?
L’objectif est de réduire au strict minimum vital la surface d’attaque. Il est urgent de diminuer au maximum les points d’entrée des pirates informatiques.
Pour ce faire, passez en revue les actifs numériques utilisés dans tous les environnements de travail : développeur, recette, pré-production, production. Est-ce que toutes les applications présentes sont nécessaires au bon fonctionnement de votre entreprise ? Les API, les webservices, pensez à tout passer au peigne fin.
3. Librairies : faites les bons choix et mettez-les à jour régulièrement !
Plus des trois quart du code d’une application est composé de librairies. Ces librairies sont bel et bien « étrangères » n’ont pas été développées par vos développeurs.
C’est à ce moment précis qu’une routine de maintenance doit être mise en place sur ces librairies.
Il convient donc d’effectuer plusieurs opérations de maintenance :
- Etape n°1 : on vérifie que chaque librairie intégrée dans l’application web a une utilité et donc une présence justifiée.
- Etape n°2 : on s’assure que toutes les librairies utilisées sont fiables et reconnus par la communauté de développeurs du langage concerné. Ainsi on évite le pire: utiliser dans votre application web une librairie contenant du code malveillant. Beaucoup de librairies sont classées comme vulnérables. Faites bien vos recherches avant de l’intégrer chez vous.
- Etape n°3 : on met à jour les librairies, on les maintient. Mettez en place un outil qui va vous envoyer une alerte (notification) quand la librairie a besoin d’être mise à jour. Les mises à jours corrigent des failles, elles sont incontournables pour être plus serein et réduire la zone potentielle d’attaque.
4. Restez discret
Ne soyez pas trop bavard au regard de la constitution de l’architecture de votre application. Il s’agirait sinon d’une réelle fuite d’informations qui mine de rien est très confidentielle et qui concerne le squelette même de votre application web.
L’un de vos développeurs pourrait sans idée malintentionnée copier un bout de code sur un forum afin d’obtenir une aide de la part de la communauté. Les pirates informatiques peuvent aisément se glisser dans la communauté et mettre la main sur ce bout de code.
Alors pour éviter de dévoiler votre code, votre logique business ou votre architecture, formez vos équipes à bien comprendre et appliquer ces précautions.
5. Testez et abusez des usages fonctionnels de votre application
Afin de déceler les use case critiques, prévoyez une revue des cas d’utilisation de votre application les plus critiques. C’est-à-dire à plus haut potentiel d’intrusion.
- Est-ce que le processus de mot de passe oublié est bien sécurisé ?
- Est-ce que le workflow de validation de paiement est hautement sécurisé ?
- L’utilisateur peut-il changer le contenu de sa commande après le paiement ?
Vous contrôlez ici la logique des cas d’usage. En effet, c’est dès le cas d’utilisation fonctionnelle que la sécurité de l’application est engagée. Assurez-vous que la logique fonctionnelle ne peut être détournée d’une façon ou d’une autre. N’hésitez pas à aller dans les excès de test des processus pour découvrir les potentielles failles.
6. Des données utiles et protégées
Cette étape vous est normalement déjà imposée par le Règlement Général sur la Protection des Données (RGPD) entrée en vigueur en France en mai 2018. Cela ne vous a pas échappé, plusieurs mesures s’imposent au regard de la protection des données manipulées par votre organisation.
- Précaution n°1 : Faites l’inventaire de l’ensemble des données qui entrent, qui sortent, qui transitent par votre application web : identifiants, mots de passe, coordonnées, données de paiements etc.
Que votre application web soit de petite ou de grande taille, que vous soyez un auto-entrepreneur ou une multinationale, les données que vous détenez de tous vos utilisateurs doivent être protégées par vos soins.
- Précaution n°2 : Soyez minimaliste. Ne collectez pas de données si elles ne vous sont d’aucune utilité. Plus vous collectez un volume important et surtout diversifié de données plus vous vous exposés à des dangers et des failles. Limiter la diversité ainsi que la quantité de données que vous collectez. Elles doivent toute avoir une utilité et une légitimité bien précise.
- Précaution n°3 : Suivez la durée de conservation de vos données sensibles. La durée de conservation doit également être justifiée.
- Précaution n°4 : La manière dont vous utilisez les données sensibles, ce que vous en faites est sûrement le premier point que vous devrez expliciter et prouver comme utile.
- Précaution n°5 : Vérifiez que l’itinéraire emprunté par vos données est bien sécurisé.
Vous l’aurez compris une solide politique de sécurité des données doit être réfléchie et appliquée. Chez Bocasay, entreprise informatique offshore, nos développeurs offshore effectuent les revues techniques dont votre application a besoin : revues de code orientés sécurité, test d’intrusion web, préparation aux pires des scénarios etc. Laissez-nous un message nous vous recontacterons. Pour plus d’infos, découvrez les prix de nos développeurs offshore.