Vous effectuez des tests sur vos applications avant de les mettre en production ? Découvrez pourquoi faire conduire des tests d’intrusion externalisés peut renforcer considérablement votre niveau de sécurité et votre image vis à vis de vos clients.
L’intérêt d’un web application firewall
Si vous ne voyez pas exactement la différence entre un firewall “classique” et un WAF (web application firewall), je vous conseille de consulter un article précédent, expliquant les différences : Firewalls traditionnels ou Web Application Firewalls?
Les menaces pesant sur les applications font des web application firewalls une approche véritablement complémentaire aux bonnes pratiques de développement et aux tests de sécurité (audits).
La protection globale qu’ils apportent contre les attaques connues (et non connues), le patching virtuel et le reporting d’événements liés à la sécurité ont une vraie valeur ajoutée.
Les firewalls traditionnels ont pour but de protéger des environnements informatiques contre les attaques, en autorisant ou en bloquant certains services.
Ces firewalls contrôlent le trafic réseau entrant et sortant, en se basant sur une série de règles.
Voici un exemple simple :
Supposons que votre entreprise possède un serveur web dans son infrastructure informatique. Afin de rendre le serveur web accessible depuis l’extérieur de votre entreprise, certaines règles devront être définies pour autoriser le trafic web vers et depuis ce serveur.
Certains “ports” seront ouverts, pour une adresse IP (celle de votre serveur web).
Votre entreprise peut choisir d’autoriser seulement le trafic web, ou d’autoriser un autre type de trafic en fonction de ses besoins.
Il y a quelques années, on se posait la question suivante : faut-il faire tester la sécurité de son site web ? A présent, la question est devenue : à quelle fréquence faut-il effectuer des tests ? Cette réflexion vaut pour les sites internet ainsi que pour les applications mobiles et les logiciels développés à partir de technologies web. Bien que la partie systèmes et serveurs mérite elle aussi d’être sécurisée, nous nous focalisons ici sur la partie applicative qui rattrape progressivement son retard dans le domaine.
Les Web Application Firewalls servent à protéger les applications web. Mais quels rôles précis peuvent-ils jouer dans une architecture web?
Leur capacité à améliorer la sécurité de votre plateforme dépendra de vos choix de configuration.
Alors que le nombre de piratages augmente, les pare-feu applicatifs (web application firewalls) et les filtres sont de plus en plus plébiscités. Ces outils permettent de renforcer la sécurisation de vos applications web. Comment fonctionnent-ils? Quelles sont leurs différences? Voici une brève introduction sur le sujet.
Nous supposons ici que votre environnement d’hébergement est déjà sécurisé, qu’il s’agisse d’un environnement géré en interne ou administré par un prestataire externe.
Focalisons nous sur l’application. Quelles sont les étapes à effectuer afin d’améliorer la sécurité d’une application web ? Comment réduire la surface d’attaque et éliminer des risques facilement décelables ?
Cet article n’a pas la prétention de constituer le manuel du parfait défenseur d’applications web, mais rappelle des principes de bases et présente une liste d’éléments à prendre en compte et à appliquer.