Les applications web comme les applications mobiles sont au centre de l’activité de la plupart des entreprises. Qu’elles soient déployées en production ou en cours de développement, il existe encore certaines idées reçues sur la sécurité de ces systèmes, alors qu’il s’agit d’un sujet crucial pour le bon déroulement des activités.
Voici les 9 idées reçues que nous avons le plus souvent rencontrées.
1. Les hackers ne s’intéressent qu’aux applications web et mobiles de grandes entreprises
C’est un argument que nous entendons très souvent. Mais malheureusement, ce n’est pas le raisonnement des attaquants. En effet, nous pouvons distinguer deux grands types d’attaques : les attaques ciblées et les attaques non ciblées. Ces dernières vont viser toutes les entreprises qui utilisent par exemple le même langage, les mêmes composants tiers, celles qui n’ont pas patché une vulnérabilité serveur connue ou tout simplement celles dont les adresses email sont dans le fichier des attaquants.
Dans ce type d’attaques non ciblées, les attaquants utilisent toutes les opportunités qui se présentent à eux, quel que soit la taille, le secteur d’activité ou le chiffre d’affaires de l’entreprise.
Les applications web et mobiles des grands groupes sont effectivement plus visibles et donc plus exposées à ces deux types d’attaques. Cependant ces entreprises sont aussi généralement plus conscientes des risques et bien mieux équipées en ressources techniques et humaines pour contrer les attaques.
Les PME et startups sont quant à elles des cibles de choix, car elles ont généralement moins préparé leurs défenses, alors qu’elles ont des données ou des ressources très intéressantes pour les attaquants.
2. Mes développeurs sont des rockstars
Les développeurs les plus expérimentés écrivent du code clair, concis et sans bugs. Leur job est de développer des sites vitrines, applications web ou mobiles à la fois performants, ergonomiques et faciles d’utilisation, dans des délais toujours plus resserrés. Mais ils ne sont généralement pas des experts en sécurité. Développer une plateforme web ou une application mobile et tester les failles de sécurité sont des démarches et des métiers bien différents.
Il est donc important de réaliser des tests d’intrusion (pentest) web, pour mettre à l’épreuve et évaluer la sécurité de vos sites vitrines, plateformes e-commerce, applications SaaS et autres solutions dans des conditions les plus proches d’une attaque réelle. Un test d’intrusion donne un état des lieux et permet d’identifier les portes d’entrée possibles et les éventuelles ressources vulnérables auxquelles un attaquant pourrait avoir accès. Un test d’intrusion permet aussi aux développeurs de monter en compétence sur le sujet sécurité. Des formations orientées sur la sécurité des développements sont également un bon moyen de sensibiliser vos développeurs sur les questions relatives à la sécurité des applications web et mobiles.
3. Nous utilisons des frameworks solides, donc nos applications web ou mobiles sont sécurisées
Effectivement, il est vivement recommandé d’utiliser des frameworks solides comportant une couche de sécurité. Cependant, il ne suffit pas de choisir un bon framework pour garantir votre sécurité : tout dépend de son utilisation et/ou de son implémentation.
Parfois, certaines protections incluses dans un framework peuvent être retirées afin d’éviter certaines contraintes ou de gagner du temps. C’est pour cela que des tests sécurité restent indispensables.
4. Nous ne traitons pas de données sensibles, la sécurité n’est pas une priorité
Bien sûr, l’une des priorités en sécurité est de protéger les données les plus sensibles, telles que des données personnelles, financières ou encore des données de santé. Mais la sécurité ne se limite pas à cela, car les données ne sont pas les seuls éléments à prendre en compte. Vos services, vos applications métiers ou votre présence en ligne sont également des actifs à protéger. Des incidents de sécurité sur ces éléments, même sans fuite de données sensibles, peuvent avoir des répercussions négatives :
- Dépenses supplémentaires pour gérer et résoudre l’incident
- Manque à gagner direct si votre application web ou mobile est indisponible et que la continuité des services n’est plus assurée ou si des données métiers sont perdues, etc.
- Manque à gagner indirect si la confiance de vos clients a été altérée, des données stratégiques ont été détruites, si votre réputation en ligne a été dégradée, etc.
A cela s’ajoute le fait que beaucoup de hackers piratent des sites web ou applications pour pouvoir les utiliser comme des « zombies » lors de leurs futures attaques ou pour héberger leurs activités illégales. Selon les législations en vigueur dans leur pays, les entreprises ont une responsabilité morale, voire légale face à ces risques.
5. Nous avons déjà réalisé un test d’intrusion
Sécuriser un site vitrine, une application web ou mobile est généralement un processus continu. D’une part, les technologies évoluent en permanence, avec de nouvelles versions publiées mais aussi de nouvelles vulnérabilités découvertes. Et d’autre part, les projets sont de plus en plus dans un processus de développement permanent et reçoivent régulièrement des updates et de nouvelles fonctionnalités.
Face à ce rythme de développement intense, il convient de tester régulièrement son application. En fonction des besoins, un audit de sécurité peut être réalisé sur une portion précise, uniquement sur les dernières fonctionnalités mises en production ou pour tester une menace précise.
6. Il n’y a pas de ROI avec les audits de sécurité
Un audit de sécurité est comparable à une assurance. Personne n’apprécie de payer son assurance auto, mais en cas d’accident, on comprend vite à quel point c’était nécessaire. Investir dans un audit sécurise le fonctionnement global de ses activités et permet d’éviter des potentielles dépenses futures liées à des attaques ou des fuites de données.
De plus, aujourd’hui la sécurité de votre plateforme web ou de votre application mobile est devenue un argument commercial. En particulier, lors de leur processus d’achat, la majorité des acheteurs questionnent la sécurité des données qu’ils vous confieront à travers votre site web ou vos applications. Pouvoir prouver le niveau de sécurité, par exemple avec un certificat d’audit ou des rapports attestant la réalisation de tests d’intrusion, devient un atout clé dans les négociations. Être proactif sur ces questions a un impact direct sur les ventes et renforcera la confiance de vos clients, prospects ou partenaires dans votre solution. Ainsi, le ROI d’un test d’intrusion est certes difficile à évaluer mais il est incontestable.
7. Nous n’avons pas le temps de réaliser un pentest
Compte tenu des priorités de la roadmap, des demandes clients urgentes et des changements de dernière minute, il peut paraître compliqué de s’engager dans un projet de pentest. Et pourtant, réaliser un pentest requiert certainement moins de travail de votre part que vous ne pourriez l’imaginer.
En amont et durant les tests, très peu d’implication est requise de votre part. Dans certains cas, les pentesters auront besoin que vous leur fournissiez un environnement de test et/ou des comptes de tests. Ils seront ensuite autonomes tout au long de l’audit.
A la suite du test d’intrusion, un rapport détaillant les vulnérabilités identifiées ainsi que les correctifs à implémenter vous sera remis. Les failles sont classées selon leur niveau de criticité, ce qui vous permet de prioriser leur traitement selon vos disponibilités. Vous serez libre de fixer le calendrier des corrections.
8. Il faut être naïf pour se faire avoir par un email de phishing
Le phishing a beaucoup évolué, le temps de l’avocat vous contactant à propos d’un héritage est dépassé. Désormais, le phishing est plus complexe à détecter et peut être redoutable. Il peut prétendre venir d’interlocuteurs connus de la personne ciblée ou bien utiliser des demandes adaptées au contexte de l’entreprise. Les techniques et les prétextes d’attaques sont devenus plus subtils. Les attaquants s’appuient sur les ressorts psychologiques humains pour pousser au clic et à l’erreur.
Via les attaques d’ingénierie sociale (les attaques visant à manipuler l’humain), un attaquant peut combiner du phishing avec par exemple des appels téléphoniques frauduleux (vishing ou voice phishing) pour obtenir des informations confidentielles, comme des accès au réseau interne ou au back-office.
Ces attaques restent encore méconnues et sont souvent sous-estimées. Pourtant, les risques peuvent être considérablement réduits en sensibilisant les équipes et en renforçant les processus internes. Il est également possible de réaliser un audit d’ingénierie sociale ou des formations pour s’armer face à ce type d’attaques.
9. Les tests d’intrusion ont un coût élevé
Les tests d’intrusion ont certes un coût. Toutefois, lorsque les tests sont adaptés au niveau de risques et aux besoins de votre entreprise, il s’agit alors d’un investissement dont le rendement est certain.
De plus, tous les audits de sécurité n’ont pas le même coût et ne nécessitent pas forcément un budget de 10k€ par exemple. Le prix varie selon le degré de profondeur et d’exhaustivité de l’audit. Il peut donc être adapté à vos besoins. En limitant le périmètre et/ou le niveau de profondeur des tests, nous pouvons limiter le coût de la prestation.
Enfin, lorsque le budget est vraiment limité, il est possible de faire un pentest pour moins de 1 500€. Cela peut être pertinent pour les entreprises qui commencent à mettre en place des tests sécurité et augmenteront ou testeront d’autres portions de leur système d’information au fur et à mesure de leur développement. Nous avons l’habitude de nous adapter à différents niveaux risques, différentes étapes de développement et différents budgets, n’hésitez pas à nous contacter pour échanger sur votre projet de pentest .