Sécurité IT : les dix risques liés aux applications web en entreprise

Cloud

Des experts sécurité de l’Open Web Application Security Project (OWASP) ont publié leur tableau de référence présentant les 10 risques associés à l’usage des applications web en entreprise. Interview.

ITespresso.fr : Quels sont les dangers relevés dans le référentiel 2010 ? Quelles conclusions en tirer ?
Sébastien Gioria : Cette année, nous avons réorganiser le Top 10 pour expliquer que nous parlons de risques et non plus uniquement de vulnérabilités. Donner des priorités sur des vulnérabilités sans prendre en compte leur contexte n’a pas de sens. Nous avons observé en premier lieu que les injections sont toujours présentes et en première position. Le Cross Site Scripting qui a récemment fait tomber Apache est lui aussi présent. La conclusion, c’est que l’approche (risques !) et le document veulent toucher plus de gens : développeurs, architectes, chefs de projet, manager, assistance à maîtrise d’ouvrage. Vous ne pouvez prendre les bonnes décisions métier sans comprendre les menaces et l’impact sur votre métier.

ITespresso.fr : Quels sont les conseils des experts en sécurité pour les développeurs ?
S. Gioria : Sécuriser un code « juste une fois » ne suffit pas. Une démarche de programmation sécurisée doit composer avec toutes les étapes du cycle de vie d’un programme. L’approche de sécurisation d’une application par liste noire (tenter de corriger ou de stopper les failles) est morte, il faut appliquer les concepts de sécurité dans le cycle de développement (Secure Software Development Life Cycle ou SDLC en anglais). Les programmes sont à sécuriser par conception, pendant le développement et par défaut. Il existe à ce jour au moins plusieurs centaines de problèmes affectant l’ensemble de la sécurité d’une application web. Ces problèmes sont détaillés dans les différents Guides (Top10, ASVS, Guide de l’auditeur, Guide de conception de l’OWASP)… de la lecture essentielle et indispensable à toute personne développant des applications web.

Applications web : classement des 10 premiers risques de sécurité
(traduction libre, source OWASP)

1 Injections serveurs
2 Injections clients (Cross Site Scripting, CSS – XSS)
3 Mauvaise gestion de l’authentification et des sessions (broken authentication and session management)
4 Références à des objets non sécurisée (insecure direct object references)
5 Cross-Site Request Forgery (CSRF, difficile à traduire :-)
6 Mauvaise configuration (Security Misconfiguration)
7 Stockage de données cryptographiques non sécurisé (insecure cryptographic storage)
8 Contrôle d’accès aux URL défaillant (failure to restrict URL access)
9 Communications non sécurisées (insufficient transport layer protection)
10 Redirection et transferts non sécurisés (unvalidated redirects and forwards)

Lire aussi :