Applications web : le quick-win parfait entre sécurité et conformité

[EXCLUSIF] L’avènement du règlement général sur la protection des données (RGPD) de l’Union européenne, notamment, vient placer de nouvelles obligations sur la manière dont les entreprises gèrent les données personnelles de leurs utilisateurs… au prix d’une réorganisation importante de leurs processus internes.

PETROQUE LAURENT

Laurent Pétroque, expert fraude en ligne chez F5 Networks

Les entreprises ne doivent donc plus seulement faire face à des menaces toujours plus avancées et des attaquants toujours à l’affut des dernières faiblesses, elles doivent désormais aussi assumer de nouvelles obligations juridiques et organisationnelles, avec un risque fort en cas de non-conformité.

Même si ce nouveau règlement contribue, par ses obligations, à élever le niveau de sécurité des entreprises qui s’y conforment, il induit également une complexité organisationnelle accrue. Mener ces deux objectifs de front – être conforme et se protéger – peut s’avérer complexe pour bien des organisations.

Il y a pourtant un point de convergence entre les données personnelles et les opérations métiers de l’entreprise : ses applications web !

Selon le F5 Labs, les attaques contre les applications Web de l’entreprise constituent le principal point d’entrée des pirates et le premier risque de vol de données personnelles. C’est en effet en s’attaquant à de telles applications que les pirates sont en mesure de dérober des identifiants (mots de passe, cookies de session, etc.) et de piller ensuite les bases de données qui y sont associées.

Les applications web sont ainsi le candidat parfait pour concentrer toute l’attention du responsable sécurité soucieux d’à la fois renforcer son niveau de protection et de contribuer à sa mise en conformité.

Pour autant, elles ne sont pas toujours protégées au mieux. Dans son étude 2017 consacrée à la sécurité des applications, la société WhiteHat constate avec inquiétude qu’une application web souffre en moyenne de trois vulnérabilités. Il semblerait que cela soit dû à un manque d’investissement dans l’audit de vulnérabilités ou les tests d’intrusion, dans l’application des correctifs de sécurité, ou encore à une mauvaise compréhension des cyber-risques ou à l’absence d’outils de sécurité adaptés.

Les difficultés de la défense

Le rapport SOAD (State of Application Delivery) 2018 de F5 Networks illustre comment l’essor des déploiements multi-Cloud a bouleversé les règles du jeu en matière de protection des applications Web. Dans la zone EMEA, la mise en place de règles de sécurité cohérentes à travers toutes les applications d’une entreprise est considérée comme étant l’aspect « le plus complexe ou frustrant » de la gestion des environnements multi-Cloud (42 % des clients de F5 Networks interrogés).

Dans le même temps, 39 % estiment que la plus grande difficulté consiste à protéger les applications contre les menaces actuelles et émergentes. Le rapport SOAD 2018 conclut ainsi que l’ensemble de ces constats a entraîné une hausse du nombre d’entreprises déployant des pare-feu pour applications Web (WAF), 61 % d’entre elles utilisant aujourd’hui cette technologie pour protéger leurs applications.

Et on peut le comprendre ! Éléments centraux de tout arsenal de cybersécurité qui se respecte, les WAF sont placés en coupure entre l’attaquant et les applications. Outre leur capacité à encaisser et filtrer les attaques, ils offrent également des contrôles de sécurité essentiels à la protection des données les plus précieuses, au sein de l’entreprise comme dans le cloud.

Une nouvelle ère

Les applications Web, parce qu’elles hébergent les processus et les données métiers sensibles de l’entreprise et détiennent les clés pour accéder aux données personnelles de ses clients, représentent le quick win idéal. Les protéger efficacement permettra de lutter contre les menaces sophistiquées tout en contribuant à répondre aux nouvelles obligations réglementaires.