sPROXY

La protection des actifs informationnels contre les menaces modernes est un défi

Avec plus ou moins d’enthousiasme, les directions informatiques mettent les données de leur organisation à disposition des utilisateurs (qui incluent fournisseurs, partenaires et clients), via des interfaces Web et des applications mobile. Mais, à moins de n’y prendre garde, les données les plus sensibles peuvent ainsi tomber dans des mains non autorisées, voire hostiles. Avec la dissolution du périmètre réseau, le défi est de sécuriser un « business » qui aspire à l’agilité et est prêt à faire confiance, voire à s’appuyer entièrement sur des technologies Web, cloud et mobile fondamentalement non sécurisées.

DenyAll peut aider les Directeurs Informatiques et Responsables de la Sécurité du Système d’Information qui relèvent ce défi, avec les trois étapes critiques suivantes :

1. Filtrer le trafic Web entrant et bloquer les attaques visant la couche applicative ;

Depuis plus de 10 ans, la mission de DenyAll est de sécuriser et accélérer des applications et services Web. Cette expérience suggère que le filtrage du trafic web entrant n’est plus une option : chaque société et institution publique s’appuyant sur le Web, le cloud et la mobilité pour collaborer, interagir et effectuer des transactions doit s’assurer que les pirates ne profitent pas des canaux ouverts par ces technologies.

2. Détecter les vulnérabilités présentes dans l’infrastructure pour limiter la surface d’attaque ;

A moins de croire en la chance, gérer pro-activement ses vulnérabilités informatiques est tout aussi nécessaire. Les hackers finiront par cibler les données de votre organisation, si ce n’est déjà le cas. L’efficacité d’une politique de sécurité ne dépend pas seulement de la qualité des contrôles de sécurité applicative mis en place. Il est indispensable de rendre l’accès aux applications et aux données le plus difficile possible pour les voleurs et les espions. Les applications sont complexes et la plupart évoluent rapidement : c’est la sécurité de la pile entière qui doit être testée régulièrement (voir scanner de vulnérabilités).

3. Optimiser la sécurité des applications, au-delà du « patching virtuel ».

La «remédiation» des vulnérabilités est rarement triviale. Appliquer un « patch » système, modifier des droits d’accès ou corriger des erreurs de codage dans une application est souvent difficile et couteux en temps. Changer la politique de sécurité d’un Web Application Firewall, par contre, peut se faire relativement rapidement et simplement. DenyAll ambitionne, en intégrant ses produits, de faire progresser la sécurité applicative vers un système intelligent.

Au-delà de la possibilité de prévenir l’exploitation de vulnérabilités dès leur détection, le but est de définir des politiques adhoc qui optimisent la sécurité comme la performance.

Les applications Web sont devenues les cibles préférées des hacktivistes et pirates à la recherche de données sensibles, que ce soit à des fins politiques, mercantiles ou d’espionnage.

Quelle que soit leur motivation, ils vont au plus facile : la majorité des vulnérabilités se situant au niveau des applications de nos jours, les attaques les plus courantes s’appuient sur des techniques visant la couche applicative, comme les injections SQL et le cross-site scripting.

Des risques qui évoluent :

Les applications Web sont aussi devenues très complexes. Elles utilisent des langages et « frameworks », tels que JavaScript, Ajax et JSON, qui enrichissent l’expérience utilisateur, mais rendent le travail des contrôles de sécurité traditionnels très difficile : ils ne savent plus identifier et bloquer les attaques ciblées les plus avancées. Certains des « hacks » qui ont fait la une des journaux récemment ont été subis par des entreprises qui s’appuient exclusivement sur des technologies de sécurité réseau et n’investissent pas assez dans la sécurité de la couche 7.

Avec la « consumérisation » de l’IT, les smart phones et tablettes sont utilisés à la fois pour la vie privée et professionnelle. La séparation entre vie sociale et travail a tendance à devenir floue. Les pirates inventent de nouvelles techniques de « social engineering », s’appuyant sur l’inexpérience des gens et leur appétit pour l’information online pour atteindre leur but : voler nos données et faire de l’argent !

A lire également : 
Présentation complète de la société DenyAll (PDF)
Les clients DenyAll 
L'équipe de direction et le conseil d'administration

Attachments:

Présentation DenyAll	[Présentation DenyAll]
White paper - 10 years of application security	[White paper - 10 years of application security]
White Paper: 10 years of application security	[White Paper: 10 years of application security]
Livre Blanc - 10 ans de sécurité applicative	[Livre Blanc - 10 ans de sécurité applicative]
Livre Blanc - 10 ans de sécurité applicative	[Livre Blanc - 10 ans de sécurité applicative]