• Aucun résultat trouvé

SÉCURITÉ DES APPLICATIONS WEB LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB

N/A
N/A
Protected

Academic year: 2022

Partager "SÉCURITÉ DES APPLICATIONS WEB LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB"

Copied!
8
0
0

Texte intégral

(1)

SWAT BROCHURE

(2)

SÉCURITÉ DES APPLICATIONS WEB

LA SOLUTION D’ANALYSE

IDÉALE POUR LES APPLICATIONS WEB

La sécurité des applications Web s’est avérée être un énorme défi pour les entreprises ces dernières années, très peu de solutions appropriées étant disponibles sur le marché. La première solution consiste à faire l’acquisition d’un scanner d’applications Web de base avec une capacité très limitée ; cette option devrait être évitée indéniablement, particulièrement pour les entreprises ayant une marque prestigieuse associée à une présence en ligne.

La seconde solution est d’acheter un scanner Web nécessitant des spécialistes de la sécurité expérimentés pour l’exécuter d’une manière efficace quotidiennement. Cette option peut augmenter considérablement les coûts d’ex- ploitation annuels, garder des techniciens qualifiés comme employés à temps plein étant onéreux, et ceci nécessitant également une formation poussée.

La troisième solution est d’engager une entreprise de sécurité pour effectuer des tests d’intrusion élaborés sur les différents sites Web de l’entreprise, identifiant toutes les menaces immédiates. Bien que cette option soit extrême- ment précise, elle est malheureusement considérée comme un remède à court terme, de nouvelles formes d’attaque étant introduites tous les jours et les applications Web changeant fréquemment.

SWAT (Secure Web Application Tactics) est une solu- tion conjuguant des outils d’analyse d’avant-garde et des experts de la sécurité, qui fournit la solution d’anal- yse d’applications Web la plus précise et la plus fiable disponible sur le marché.

La technologie intelligente utilisée dans SWAT lui per- met d’identifier et d’appréhender les nouvelles menac- es, et de modifier son comportement en conséquence sans interférer avec les opérations quotidiennes.

SWAT produit des résultats avec zéro faux positifs, ne nécessite pas de formation spécifique, et inclut une as- sistance technique spécialisée disponible 24/7. SWAT fournit en outre une surveillance permanente, garantit que les sites Web des clients restent protégés même lorsque les applications Web changent ou lorsque de nouveaux modes d’attaque sont introduits.

(3)

AVANTAGES DE LA SOLUTION

Solution : une combinaison d’outils d’analyse d’avant-garde et d’experts de la sécurité de pointe

Les tests de détection des problèmes relatifs à la con- fidentialité, les restrictions d’accès ou les attaques par élévation de privilèges sont très subjectifs et difficiles à réaliser pour un outil traditionnel ; ils dépendent com- plètement de la perception humaine du comportement prévu des applications.

SWAT remédie à ce problème par le biais de ses fonctions d’apprentissage avancées, le processus d’intégration et des services de vérification précis, asso- ciés au support d’experts de la sécurité expérimentés, parvenant à une couverture totale également pour ce type de menace.

Solution : analyse, vérification, tests et élimina- tion des faux positifs

SWAT fournit des rapports avec des informations vérifiées auparavant par des experts de la sécurité. Ces rapports éliminent le problème des faux positifs et per- mettent aux clients d’atténuer leurs risques rapidement.

Solution : analyse sans risques pour la production Les applications Web ont souvent un large éventail de fonctionnalités qui peuvent être affectées lors de l’ex- écution d’une analyse, et les interventions techniques peuvent également provoquer des perturbations : par exemple, certaines commandes de base de données peuvent entraîner l’exécution d’actions indésirables.

SWAT respecte les réglementations les plus strict- es pour garantir des pratiques d’analyse sûres, en évitant de perturber la disponibilité ou l’intégrité des informations.

Solution : assistance technique spécialisée 24/7 Outpost24 propose une assistance technique spécial- isée disponible 24/7. Les clients peuvent poster des questions concernant les vulnérabilités nouvellement identifiées directement dans l’interface, et recevoir les réponses des spécialistes de la sécurité qui peu- vent être utilisées pour repérer les vulnérabilités.

Solution : contrôle permanent

SWAT est une solution intelligente capable d’identifier et de réagir face aux nouvelles menaces en modifi- ant ses modes de comportement en conséquence.

SWAT contrôle en permanence les applications Web, détectant les nouvelles modifications telles que les nouvelles pages ou les nouveaux contenus. Lors de l’analyse, la solution utilise une intensité et une charge très faibles sur une longue durée, assurant une couver- ture maximale tout en produisant un impact moindre.

Défi : les scanners d’applications Web ne sont pas en mesure de tester la logique d’une application

Défi : des détections imprécises entraînant des décou- vertes erronées et des vulnérabilités manquées

Défi : les scanners de sécurité dégradent souvent les applications Web et interfèrent avec les opérations quotidiennes

Défi : les vulnérabilités techniques sont souvent diffi- ciles à comprendre, et une assistance spécialisée peut être nécessaire pour fournir des précisions

Défi : les applications Web changent fréquemment, intro- duisant de nouvelles fonctions et de nouveaux contenus

(4)

OWASP top 10 2013 SWAT

A1-Injection

A3-Cross-Site Scripting (XSS)

A5-Security Misconfiguration A6-Sensitive Data Exposure A2-Broken Authentication

and Session Management Poorly supported

Poorly supported

Poorly supported

Low accuracy

Low accuracy and coverage Only default types A4-Insecure Direct

Object References

A7-Missing Functio Level Access Control A8-Cross-Site Request Forgery (CSRF)

A9-Using Components with Known Vulnerabilities

A10-Unvalidated Redirects and Forwards

COMPARAISON TECHNIQUE

Le projet OWASP TOP 10 (Open Web Application Security Project Top 10) inclut les vulnérabilités trouvées et sig- nalées le plus fréquemment dans les applications Web.

Il regroupe les découvertes de vulnérabilité en familles ; alors que les offres de scanner Web traditionnelles ne trait- ent que des sous-ensembles des différentes familles de menaces, obtenant souvent 75 % de faux négatifs.

Outils

automatisés Tests d’intrusion

(5)

Le tableau Contrôle et suivi ci-dessous présente un examen de la sécurité effectué à l’encontre d’une application, sa capacité de détection des changements apportés à cette application au fil du temps, et sa capacité de compréhen- sion et de fonctionnement avec une application dynamique.

Même si des tests d’intrusion rigoureux sont très approfondis et incluent une couverture maximale, ils sont très lim- ités dans leur capacité à maintenir des niveaux de sécurité élevés au fil du temps.

Contrôle et

couverture SWAT

Zero Touch Configuration Maximum links

Continuous detection Test new deployed content Detect changed credentials Rogue website detection Time available for a test Smart form testing

Often 2000-8000 If implemented in the process

Dictated by time Unlimited

Poorly

Rarely Rarely

Often a week Continuous

Often 12-24 hours

FINDINGS VUE APPLICATION VUE

Outils

automatisés Tests d’intrusion

(6)

Le tableau Sécurité de la production fait référence aux risques inhérents lorsqu’un scanner ou un test affecte l’objet de test. Souvent, les tests d’intrusion ne protègent pas la production, sauf si cela est spécifié sur demande spécifique lorsque ceci est considéré comme une priorité essentielle pour le client.

La sécurité de la production est essentielle pour les applications critiques où l’intégrité des données est très impor- tante, et des cas de test mal exécutés ont une incidence sur l’expérience des applications des utilisateurs finals.

Sécurité de la

production SWAT

Production safe testing

Low traffic and database intensity Submit forms only when safe Prevents dangerous link use

Medium

Outils

automatisés Tests d’intrusion

(7)

Le tableau Vérification et orientation fait référence au niveau d’expertise nécessaire pour une organisation pour pouvoir utiliser et tirer profit d’une solution au fil du temps. La sécurité des applications Web est une compétence spécialisée, dont la maintenance au sein d’une organisation est souvent onéreuse.

Verificación y orientación SWAT

False positives removed Proof of exploitability provided Vulnerability rating put in context Context-aware CVSS scoring Unlimited re-testing and verifications Ask experts for advice on remediation Smart vulnerability grouping

Poorly

Retests rarely possible

Sometimes

On delivery only VULNERABILITY DISCUSSION VUE

Outils

automatisés Tests d’intrusion

(8)

À PROPOS D’OUTPOST24

Fondée en 2001; Outpost24 est une entreprise de gestion des vulnérabilités fournissant les meilleures solutions pour aider les utilisateurs à identifier et atténuer les faiblesses dans leur réseau. Outpost24 fournit des alertes de vulnérabil- ité en temps réel et des rapports basés sur des solutions qui facilitent la reconnaissance instantanée des menaces imminentes. Avec plus de 40 sites dans le monde, Outpost24 analyse collectivement plus de 400 millions d’adresses IP chaque semaine, et détecte plus de 12 000 vulnérabilités quotidiennement. Plus de 2000 entreprises dans le monde entier font confiance à Outpost24 pour protéger leurs réseaux internes et externes ; d’organismes gouvernementaux à des établissements financiers ; et d’enseignes internationales à des opérateurs de télécommunications. Pour plus

Références

Documents relatifs

Le problème est que Flask nous renvoie bien l'image mais en oubliant de préciser qu'il s'agit d'une image, justement, et au format BMP : Flask fait croire à notre navigateur

Ces bouts de codes sont très simple : dans notre application et les modèles liés, nous importons dans notre fichier courant les deux modèles créés (on peut aussi faire

Un service, c'est quelque chose de tout simple, c'est un objet auquel nous pouvons faire appel dans notre code afin de déléguer certaines taches et de pouvoir accéder à des objets

In this paper we show this idea in practice by describing a platform for developing Web Client applications using agent programming technologies, in particular Jason for program-

Il y a certes quelques outils pour aider le client à mieux comprendre ce qui se passe à l’envers du décor comme une extension pour Firefox (et donc pas pour Internet Explorer

This approach does not confront the challenges of modern Web application crawling: the nature of the Web application crawled is not taken into account to decide the crawling strategy

adresse demandeur (optionnelle) (ligne blanche = fin de l’entête HTTP de la requête) HTTP/1.1 200 OK. taille de la ressource

C’est durant cette étape que sont prises en compte les caractéristiques fonctionnelles pouvant avoir un impact sur la sécurité ainsi que les besoins de