Skip to content

+O Que faire dans une entreprise ?

Lancez dès maintenant un programme de sécurisation des applications

La sécurité des applications n'est plus une option. Entre le nombre croissant des agressions et la pression des autorités de régulation, les entreprises du web doivent se donner les moyens de sécuriser leurs applications et API. Etant donné le nombre écrasant de lignes de code des applications et API existantes, constituant autant de risques de vulnérabilité, beaucoup d‘entreprises luttent déjà pour en reprendre le contrôle.

L'OWASP leur recommande de mettre en place un plan global qui profite à l'ensemble de leurs services. Mais pour mener à bien cette sécurisation des applications, il faut une synergie de tous les composants de l‘entreprise : la sécurité, la qualité, les développeurs, les commerciaux et la direction. La sécurité doit être mise en avant, de telle sorte que tous les acteurs puissent la retrouver dans leurs directives de travail et l'appliquer. Il faut aussi mettre l'accent sur les méthodes qui vont effectivement améliorer la sécurité en diminuant ou éliminant les risques. Les éléments clefs de la sécurisation des applications sont le projet OWASP SAMM et le guide OWASP Application Security Guide for CISOs

Pour commencer

  • Documentez toutes les applications et les ressources de données associées. Une grande entreprise doit envisager de mettre en place à cet effet une base de données de gestion de configuration (CMDB, Configuration Management Database).
  • Etablissez un programme de sécurisation des applications, et pilotez son adoption.
  • Procédez à une analyse des lacunes des capacités comparant votre organisation à vos pairs pour définir les principaux axes d'amélioration et un plan d'exécution.
  • Faites entériner ce programme par la Direction et lancez une campagne de sensibilisation à la sécurité des applications pour l'ensemble de l'organisation informatique.

Approche fondée sur le risque

  • Identifiez les besoins de protection de votre portefeuille d'applications selon un point de vue métier. Vous devez raisonner en tenant compte tant de la législation sur la protection des données personnelles que des autres textes applicables aux données à protéger.
  • Créez un modèle de profil de risque applicatif à partir d'un ensemble cohérent de facteurs d'impacts et de probabilités correspondant au degré de tolérance de l'entreprise en matière de risques.
  • Mesurez et prioritisez toutes vos applications et API et ajoutez-les à votre CMDB.
  • Établissez des directives d'assurance pour définir correctement la couverture et le niveau de rigueur requis.

Partez sur des bases solides

Intégrez la sécurité dans les processus existants

Rendez vos indicateurs visibles

  • Gérez avec des indicateurs. Pilotez les décisions de financement et d'amélioration en vous fondant sur les indicateurs et les données d'analyse recensés. Les indicateurs comprennent le respect des pratiques et activités de sécurité, les vulnérabilités introduites, les vulnérabilités atténuées, la couverture de l'application, la densité de défauts par type et par nombre d'instances, etc.
  • Analysez les données des activités de mise en œuvre et de vérification pour rechercher la cause première et des modèles de vulnérabilité pour conduire des améliorations stratégiques et systémiques à travers l'entreprise. Tirez profit des erreurs et incitez positivement aux améliorations.