Contactez-nous
    Espace Client

    Comment sécuriser vos applications web ?

    12 septembre 2019

    6 minutes

    Les applications web sont en première ligne des cyberattaques. En tant que responsable de la sécurité des systèmes d'information, cela n’a pas pu vous échapper. Il s’agit bien souvent du maillon faible des infrastructures IT. Découvrez au sein de cet article comment les sécuriser.

    sécuriser les applications web

    Un monde ultra connecté en perpétuelle évolution

    Les applications web sont devenues incontournables pour votre business et le fonctionnement de votre entreprise. Aujourd’hui, un navigateur web permet d’accéder à des outils collaboratifs et de messagerie, des sites web d’e-commerce ou e-banking ou encore, à des applications métiers plus spécifiques telles que les ERP ou CRM.

    Avec le développement de la mobilité (smartphones, PC portables), des technologies web 2.0, et du SaaS (Software as a Service), la diversité des applications ainsi que le nombre d’accès à celles-ci se sont accrus de manière exponentielle. Aussi, un grand nombre d’entre elles peuvent être vulnérables à de nombreuses menaces connues ou non-connues (Zero Day), qui sont en permanence testées par les hackers à la recherche de faiblesses à exploiter. Selon une étude de Positive Technologies publiée en février 2020, le contrôle total du système pourrait être obtenu sur 16% des applications Web.

    Ces activités malveillantes peuvent avoir des impacts métiers conséquents, allant de la paralysie partielle ou complète de votre activité, à la modification ou l’exfiltration de vos informations. Plus concrètement ces attaques peuvent se traduire par une défiguration de votre site Internet, perturbant son fonctionnement et détériorant l’image de votre entreprise, ou encore à un accès illégal au logiciel de comptabilité afin d’extraire vos informations bancaires.

    Des attaques toujours plus sophistiquées

    Au cours de ces dernières années, la communauté OWASP (Open Web Application Security Projet) - qui travaille sur la sécurité des applications web - constate une augmentation constante du nombre d’attaques avec l’apparition de techniques de plus en plus sophistiquées.

    Ces cyber-attaques utilisent des techniques diverses, telles que l’injection de code malveillant SQL ou LDAP pour duper l’interpréteur afin de l’amener à exécuter des commandes fortuites, ou d’accéder à des données non autorisées (ajout du compte ou supprimer un mot de passe).

    Une autre méthode fréquemment utilisée est le Cross-Site-Script (XSS), réalisable lorsque qu’une application accepte des données non fiables et les envoie à un navigateur web sans vérification. Ceci dans le but d’exécuter des scripts dans votre navigateur pour, par exemple, voler la session d’un utilisateur pour une réutilisation, altérer des sites web ou rediriger l’utilisateur vers un site malveillant voire introduire des vers. Toujours selon l’étude de Positive Technologies, les attaques XSS représentaient 76% en 2019.

    De façon plus globale ces menaces évoluent dans le temps et sont inhérentes au développement de l’application web, aux vulnérabilités protocolaires connues ou inconnues ou encore à de mauvaises configurations de sécurité.

    Fort de ce constat, il vous devient indispensable d’implémenter des outils capables de protéger vos applications web internes et publiques contre ces cyber-menaces. Choses que ne sont pas capables de faire les pare-feux et IPS classiques. Quelle est alors la meilleure solution ? Le pare-feu applicatif Web (WAF).

    Une réponse adaptée pour la protection de vos applications web

    Le firewall applicatif web fournit une couche de contrôle de niveau 7 entre les utilisateurs finaux et les applications web. Son rôle ? Filtrer tous les accès applicatifs (https/XML/Json… ) ainsi que d’inspecter les requêtes clientes et les réponses en provenance de l’application. Celui-ci est déployé en frontal des serveurs applicatifs afin de surveiller chaque accès et de permettre la collecte des logs nécessaires à la conformité, l’audit et l’analyse.

    Les solutions WAF sont principalement mises en coupure (In-Line) sur vos architectures, soit en mode « reverse proxy » nécessitant la mise en place de mécanismes de NAT entre vos réseaux client et serveurs applicatifs, soit en mode « transparent proxy » agissant sur un même réseau de niveau 2.

    D’autres modes d’implémentation sont disponibles comme le mode  “sniffer Out Of Band », fonctionnant à l’aide d’une copie du trafic en vue de réaliser du monitoring et un nombre limité d’actions.

    L’intérêt du WAF est de vous fournir une protection personnalisable pour chacune de vos applications web contre les exploits connus et les vulnérabilités logicielles sans aucune entrave sur leurs fonctionnements.

    Les 6 propositions d'un firewall applicatif

    • A minima, une protection contre les failles de sécurité Web les plus courantes répertoriées par l’OWASP, telles que les attaques de type Cross-Site Scripting (XSS), l’injection de code malveillant ou encore la falsification de requête intersites (CSRF) ;
    • Un mode d’auto-apprentissage permettant d’établir le comportement et le fonctionnement de l’application de manière automatique ;
    • Une base préconfigurée de reconnaissance des signatures applicatives permettant une plus grande rapidité de déploiement ;
    • Des mécanismes de contrôle d’accès pour éviter l’utilisation abusive de droits d’accès ;
    • Un module de gestion des certificats nécessaires au traitement des flux cryptés SSL ;
    • Une console de monitoring et de reporting capable de surveiller et remonter en temps réel les attaques ou toutes dégradations des services applicatifs protégés. Cet élément est essentiel pour l’analyse et la visualisation de toutes les menaces.

    En complément, les WAF peuvent embarquer des technologies de sécurité additionnelles, telles que des scanners de vulnérabilités dont les résultats seront exploités pour la mise en place de « virtual patching », des systèmes de protection anti-DDoS, ou encore des solutions de détection de fraude Web et de sécurisation de base de données.

    De plus, ces solutions bénéficient, dans certains cas, de mécanismes d’accélération et d’optimisation du trafic web (caching, SSL offload, Multiplexage TCP). Celles-ci sont souvent accompagnées d’une solution de Web Access Management (WAM) couplée à des systèmes d’authentification gérant le « single sign-on » (SSO).

    Enfin, certains firewalls applicatifs web peuvent s’interfacer avec vos environnements Cloud afin de bénéficier par exemple, de mises à jour de signatures ou de listes de réputation IP.

    Pour résumer les technologies présentes dans le WAF ont pour but  :

    • La détection et la mitigation des menaces connues et inconnues ;
    • Minimiser les fausses alertes (faux positif) ;
    • S’adapter continuellement aux évolutions des applications web.

    Les 3 solutions de pare-feu applicatif 

    Les offres Cloud

    Ces offres proposent un service WAF déporté. Celles-ci sont combinées, bien souvent, avec des offres anti-DDoS, un service de répartition de charge (SLB/GSLB) voire du CDN (Content Delivery Networking).

    L’ensemble du trafic applicatif est dans un premier temps, dirigé vers votre service cloud, afin d’être analysé par le moteur WAF et les autres briques souscrites. Puis après vérification et nettoyage, il est redirigé vers vos serveurs applicatifs. L’administration et le monitoring s’effectuent via un portail Web. Ces solutions ont le bénéfice d’être souples, faciles et rapides à mettre en oeuvre quelque soit votre architecture. Le point noir de ce service reste la confidentialité de vos données, la gestion des flux SSL étant déléguée au fournisseur du service cloud.

    Les modules WAF intégrés aux ADC (Application Delivery Controller)

    Ces modules vous permettent facilement de bénéficier d’une sécurité applicative, ceci sans modification de votre architecture initiale. Cette solution permet de regrouper, sur un même équipement, un ensemble de fonctionnalités telles que la répartition de charge, la gestion des politiques d’accès ou bien évidemment la sécurité applicative. Il est important de prendre conscience que l’activation du WAF aura un impact plus ou moins important sur les performances de l’ADC pouvant éventuellement entraîner un ralentissement de vos applications.

    Les boîtiers physiques ou virtuels

    Ces boîtiers, dédiés à la fonctionnalité WAF, restent très avancés. Ces équipements proposent un vaste panel de fonctionnalités de sécurité et sont très granulaires dans l’analyse du workflow applicatif. Ceux-ci sont équipés d’outils de supervision et de reporting complets et bien structurés facilitant l’exploitation. Ces solutions sont capables en fonction de leurs performances de prendre en charge un grand nombre de services Webs.

    Ce qu’il faut retenir : 

    Vous l’aurez compris : les applications web sont malheureusement trop souvent le maillon faible des infrastructures IT, victimes de cyberattaques toujours plus pointues. Ces dernières peuvent avoir des impacts métier extrêmement conséquents, allant parfois, jusqu’à la paralysie totale de votre activité. Fort heureusement, des solutions efficaces existent. C’est le cas du WAF (Web Application Firewall), pare-feu indispensable et personnalisable, qui protègera le serveur de vos applications web contre diverses attaques.

     

    Cet article fait partie des catégories

    Réseau cloud Cybersécurité
    INT20001-image-support-service-manage

    Rejoignez-nous

    Découvrir

    DÉCOUVRIR LES ARTICLES DE LA MÊME CATÉGORIE

    23 juillet 2024

    4 minutes

    Use Case -Monitoring et tests de charge applicatifs - client leader detrue

    Comment Interdata a accompagné un acteur majeur de l'assurance dans l'amélioration continue de la performance [...]
    En savoir plus

    23 juillet 2024

    4 minutes

    Use Case - Optimiser les flux business avec l'observabilité - Client Secteurtrue

    Comment Interdata a accompagné un client du secteur automobile dans la mise en place d'une solution d'observab [...]
    En savoir plus
    Client Secteur Public

    30 mai 2024

    4 minutes

    Use Case - Service Recurrent d'expertise - Client Secteur Public

    L'offre de service récurrent d'expertise, un accompagnement personnalisé pour simplifier l'exploitation du rés [...]
    En savoir plus

    Inscrivez-vous à la newsletter