Il n'est pas rare de lire dans la presse IT que tel ou tel cabinet spécialisé a pu, en quelques heures, mettre à mal la sécurité d'institutions de renom telles que le FBI, certaines banques... pour lesquelles la notion même de sécurité n'est pas étrangère et les certifications (Sarbanes-Oxley, PCI...) sont en place depuis plusieurs années. Cela veut-il dire que ces certifications n'offrent pas assez de garanties au niveau de la sécurité informatique?
Force est de constater que les gouvernements ont dû réduire le périmètre de la conformité afin que les coûts des certifications soient abordables pour les entreprises. Un des effets de bord est donc de survoler certains aspects de la sécurité dans le monde réel pour aboutir à une simple sécurité papier.
Les cabinets spécialisés dont on parlait au début préconisent donc la mise en situation réelle, autrement dit l'utilisation d'outils de tests d'intrusion automatiques et/ou manuels. Car s'il est simple de tester les équipements tels que les firewalls avec des outils automatiques, les choses se compliquent lorsque l'on parle de serveurs web par exemple.
En effet, il est possible d'attaquer une application web de multiples façons, afin de la corrompre, car les données sont traitées à de nombreux endroits. On peut attaquer le navigateur, le canal reliant le client et le serveur, le serveur et même la partie back-office où les données sont stockées. Force est de constater que les entreprises testent rarement la sécurité des données en chacun de ces points avant de déployer une application. Certains tests d'intrusion ont déjà mis en évidence la présence de l'identifiant utilisateur dans l'URL utilisée pour accéder à une application bancaire.
Un cabinet d'audit a ainsi mis en évidence que plus de 50% des applications Web qu'il a pu tester permettaient de passer d'un compte A à un compte B ou d'effectuer des actions imputables à un autre compte à cause d'une défaillance du système de contrôle d'accès. Il faut bien avoir en tête que plus de 90% des développeurs pensent plus aux fonctionnalités de leur produit qu'aux personnes pouvant les détourner et mettre à mal la sécurité du système.
L'autre bénéfice des tests d'intrusion est de sensibiliser les filières métier. Bien loin de pouvoir exhiber de manière exhaustive l'ensemble des vulnérabilités d'un système, il est souvent possible de montrer aux responsables métier un ou des scénarii pouvant mettre en péril leur activité. Il est inutile de préciser qu'il vaut mieux que cela se passe dans un contexte maîtrisé. Il a fallu plusieurs scandales publics ainsi qu'un arrêt du site Web gouvernemental associé à la publication des vulnérabilités dans le site d'inscription des électeurs pour que l'équipe IT du Commonwealth de Pennsylvanie puisse dégager des budgets afin de se doter d'outils de tests d'intrusion et renforcer la sécurité de ses pratiques de développement Web.
Alors à vos marques, prêts, testez...
Edit de l'équipe Orange Business : Christophe a quitté le groupe Orange depuis ses derniers articles