Entre les services, les applications ou encore les objets connectés, le logiciel a pris une place importante dans l’entreprise, qui doit aujourd’hui développer ses propres applications. C’est pourquoi se pose inévitablement la question de la sécurité de ces applications.
Les entreprises ont besoin de sécuriser les applications et de se défendre des vulnérabilités tout au long du cycle de vie des produits, mais combien ont réellement adopté cette démarche ? Par exemple, même avec l’adoption de DevOps, le test demeure le parent pauvre du développement logiciel. Alors sécuriser le code…
Voici 9 questions clés à se poser qui peuvent aider à déterminer les outils nécessaires pour faire face aux risques de sécurité et de vulnérabilités sur les applications.
1Quels types d'applications développez-vous ?
Applications installées, embarquées, web, mobile, IoT, objet connecté, etc., les applications et leur production sont multiples. Les outils de tests dynamiques de la sécurité sont pour la plupart destinés aux applications qui demeurent localisées sur un système d’information ou sur le web. Mais qu’en est-il des usages dans le cloud ou en mobilité qui sont contraints par les plateformes support (iOS ou Android par exemple). Sans oublier les applications qui doivent supporter des outils spécialisés (le touch ou le stylet sur les tablettes et smartphones).
2Sur quels types de réseaux vos applications seront-elles connectées ?
Internet, Wi-Fi, VPN, LAN, Bluetooth, intranet, routeur, pare-feu, etc. Les outils de tests de sécurité des applications que vous sélectionnerez doivent permettre l'émulation des types d'attaques réseaux auxquelles vos applications sont susceptibles de faire face.
3Avez-vous accès à tout le code source dans vos applications ?
Il n’est plus une application qui n’utilise pas de composants tiers. Mais au fur et à mesure des années leur utilisation est devenu un problème de sécurité. Assurez-vous que vos outils de sécurité des applications peuvent analyser ces composants efficacement. Un code tiers tenu à jour sera plus fiable et facile à gérer.
4Quels langages de programmation utilisez-vous ?
Aujourd’hui, il est presque impossible de bien fonctionner avec un seul langage de programmation. Il est important de vérifier que les outils de sécurité des applications supportent ces langages. Une démarche qui permettra également d'être en mesure de résoudre les problèmes plus rapidement et plus efficacement.
5Combien de code open source utilisez-vous dans vos applications ?
Nous rejoignons ici la question du code source des composants évoquée précédemment. Et là aussi un pourcentage important de votre code est aujourd’hui open source. Disposer d’une solution de gestion des vulnérabilités open source et d’automatisation des tests s’impose donc.
6Comment allez-vous suivre ou tester de nouvelles vulnérabilités ?
Il est important de disposer des outils pour surveiller et gérer les vulnérabilités dans toutes les versions de vos applications, et cela aussi longtemps qu'elles restent en cours d'utilisation. Au risque sans cela de gérer des sources incomplètes.
7Quel est votre modèle de développement des applications ?
Assurez-vous que vos outils de sécurité des applications sont compatibles avec la méthodologie de développement, le modèle de gestion du cycle de vie des applications, et les outils que vous utilisez. Sans oublier le recours aux API parfois considérées comme des services et oubliées dans les process. C’est une assurance en cas d'événements perturbateurs souvent coûteux.
8Qui utilisera vos outils de sécurité des applications ?
Les outils que vous sélectionnez doivent fournir le bon équilibre entre la sophistication et la facilité d'utilisation des processus automatisés. Afin en particulier d’éviter les interruptions et les découvertes tardives, et d’aider vos équipes et votre entreprise à améliorer leur efficacité.
9Quel est votre budget dédié à la sécurité des applications ?
Peut-être aurions-nous dû poser cette question en premier… L’allocation des dépenses de développement sur les solutions de test et de sécurité des applications peut avoir un impact important sur la qualité de ces dernières.
Evoquons le Risk IT ensemble avec l’Agora
IT Social est partenaire de l’Agora des DSI et sera présent lors de la 3e édition Diner du Savoir, qui se tiendra le mercredi 17 mai sur le thème « #Risk IT : Confiance numérique et Cyberdéfense ». En cette occasion, nous réaliserons des interviews vidéo en rapport avec la thématique, et nous serons honorés de vous y retrouver.
Source : Ryan Francis, CSO
Image d’entête 582303590 @ iStock Duncan_Andison